导 读
Radiant Capital 表示,朝鲜APT组织是 10 月 16 日通过网络攻击侵入其系统并导致 5000 万美元加密货币被盗的幕后黑手。
在 Mandiant 网络安全专家的协助下,对该事件进行了调查,并最终确定了攻击原因,他们表示,此次攻击是由朝鲜黑客组织 Citrine Sleet(又名“UNC4736”和“AppleJeus”)发起的。
Radiant 是一个去中心化金融 (DeFi) 平台,允许用户跨多个区块链网络存入、借入和管理加密货币。
该平台通过 Arbitrum Layer 2 扩展系统利用以太坊区块链安全性,并在社区驱动的系统下运行,使用户能够通过 RDNT 储物柜参与治理、提交提案并对积极举措进行投票。
2024 年 10 月 16 日,Radiant宣布其遭受入侵,事件导致5000万美元加密货币被盗。此次入侵是由“复杂的恶意软件”造成的,该恶意软件针对三名值得信赖的开发人员,他们的设备受到攻击以执行未经授权的交易。
黑客似乎利用了常规的多重签名流程,以交易错误的名义收集有效签名,并从 Arbitrum 和币安智能链 (BSC) 市场窃取资金。
此次攻击绕过了硬件钱包安全和多层验证,交易在手动和模拟检查中看起来都很正常,表明攻击非常复杂。
矛头指向朝鲜黑客组织
在 Mandiant 的协助下对此次攻击进行内部调查后,Radiant 现在可以分享有关所使用的恶意软件及其背后犯罪者的更多信息。
攻击始于 2024 年 9 月 11 日,当时 Radiant 的一名开发人员收到一条冒充前承包商的 Telegram 消息,诱骗他们下载恶意 ZIP 文件。
该档案包含一个用作诱饵的 PDF 文件和一个名为“InletDrift”的 macOS 恶意软件负载,它在受感染的设备上建立了后门。
攻击中使用的诱饵 PDF 文件,来源:Radiant
Radiant 表示,此次攻击设计精良,执行完美,绕过了所有现有的安全措施。
Radiant 解释说:“这种欺骗行为进行得如此天衣无缝,即使采用 Radiant 的标准最佳实践,例如在 Tenderly 中模拟交易、验证有效载荷数据以及在每一步遵循行业标准 SOP,攻击者仍然能够入侵多个开发者设备。”
“前端界面显示良性交易数据,而恶意交易则在后台签名。传统的检查和模拟没有显示出明显的差异,使得威胁在正常审查阶段几乎不可见。”
Mandiant 高度确信,此次攻击是由 UNC4736 发起的,该威胁组织今年早些时候因利用Google Chrome0day漏洞而被曝光。
鉴于其安全措施被成功绕过,Radiant强调需要更强大的设备级解决方案来增强交易安全性。
至于被盗资金,该平台表示正在与美国执法部门和zeroShadow合作,追回尽可能多的资金。
新闻链接:
https://www.bleepingcomputer.com/news/security/radiant-links-50-million-crypto-heist-to-north-korean-hackers/
今日安全资讯速递
APT事件
Advanced Persistent Threat
疑似俄罗斯黑客在新间谍活动中瞄准乌克兰国防企业
https://therecord.media/suspected-russian-hackers-target-ukrainian-enterprises-espionage
Radiant 将 5000 万美元加密货币盗窃案与朝鲜黑客联系起来
https://www.bleepingcomputer.com/news/security/radiant-links-50-million-crypto-heist-to-north-korean-hackers/
朝鲜黑客向韩国数字基础设施部署 RokRAT 恶意软件,目标是 Internet Explorer
https://www.firstpost.com/tech/north-korean-hackers-dump-rokrat-malware-on-south-koreas-digital-infra-target-internet-explorer-13842886.html
APT-C-60 黑客在 SpyGlace 恶意软件活动中利用 StatCounter 和 Bitbucket
https://thehackernews.com/2024/11/apt-c-60-exploits-wps-office.html
一般威胁事件
General Threat Incidents
Socks5Systemz 僵尸网络利用 85,000 多台受黑客攻击的设备提供非法代理服务
https://thehackernews.com/2024/12/socks5systemz-botnet-powers-illegal.html
“SpyLoan”恶意软件感染 800 万台设备
https://dailygalaxy.com/2024/12/hackers-spyloan-malware-infects-8-million-devices-mcafee-warns/
警告!虚假 AI 视频生成器正针对您的 Windows 和 MacOS
https://www.eweek.com/news/fake-ai-video-generators-hiding-malware/
Black Basta 勒索软件通过电子邮件轰炸、二维码和社会工程不断演变
https://thehackernews.com/2024/12/black-basta-ransomware-evolves-with.html
勒索软件袭击了全球领先的心脏手术设备制造商Artivion
https://www.bleepingcomputer.com/news/security/ransomware-attack-hits-leading-heart-surgery-device-maker/
罗马尼亚能源供应商 Electrica 遭受勒索软件攻击
https://www.bleepingcomputer.com/news/security/romanian-energy-supplier-electrica-hit-by-ransomware-attack/
日本水处理公司和绿茶制造商的美国子公司遭遇勒索软件攻击
https://therecord.media/us-subsidiaries-japanese-water-treatment
缅因州Anna Jaques 医院数据泄露影响 316,000 人
https://www.securityweek.com/anna-jaques-hospital-data-breach-impacts-316000-people/
医疗设备制造商 Artivion 在遭受勒索软件攻击后努力恢复系统
https://www.securityweek.com/medical-device-maker-artivion-scrambling-to-restore-systems-after-ransomware-attack/
导致星巴克和大型杂货店中断服务的 Blue Yonder 勒索软件攻击也涉及大量信息盗窃
https://www.securityweek.com/blue-yonder-probing-data-theft-claims-after-ransomware-gang-takes-credit-for-attack/
勒索软件组织声称数据被盗,德勤作出回应
https://www.securityweek.com/deloitte-responds-after-ransomware-groups-claims-data-theft/
漏洞事件
Vulnerability Incidents
OpenWrt Sysupgrade 漏洞让黑客推送恶意固件镜像
https://www.bleepingcomputer.com/news/security/openwrt-sysupgrade-flaw-let-hackers-push-malicious-firmware-images/
Microsoft NTLM 零日漏洞将持续到2025年 4 月才会得到修复
https://www.darkreading.com/application-security/microsoft-ntlm-zero-day-remain-unpatched-april
QNAP 修补 Pwn2Own 中利用的漏洞
https://www.securityweek.com/qnap-patches-vulnerabilities-exploited-at-pwn2own/
研究人员发现 DeepSeek 和 Claude AI 中的即时注入漏洞
https://thehackernews.com/2024/12/researchers-uncover-prompt-injection.html
日本设备制造商确认存在路由器0day漏洞,并警告称完整补丁需数周才能推出
https://www.securityweek.com/i-o-data-confirms-zero-day-attacks-on-routers-full-patches-pending/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):Mandiant称,5000 万美元加密货币盗窃案与朝鲜黑客有关
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论