Image by Freepik
แฮกเกอร์ทำการเจาะเข้าสู่ระบบ Radiant Capital ด้วยมัลแวร์, ขโมยเงินจำนวน 50 ล้านดอลลาร์ในการปล้น
ระยะเวลาในการอ่าน: 1 นาที
อัปเดตเมื่อ ธค 18, 2024
-
![Kiara Fabbri]()
-
![ทีมแปลภาษา]()
แปลโดย ทีมแปลภาษา ทีมแปลภาษาและบริการแปลภาษา
PDF ที่มีมัลแวร์แนบมาส่งให้กับวิศวกรที่ Radiant Capital ทำให้แฮกเกอร์จากเกาหลีเหนือสามารถขโมยเงินมากกว่า 50 ล้านดอลลาร์ได้.
รีบก็รีบมาก? นี่คือข้อมูลสำคัญที่คุณควรรู้!
- Radiant Capital ประสบความเสียหาย 50 ล้านดอลลาร์จากการโจมตีทางไซเบอร์ในวันที่ 16 ตุลาคม พ.ศ. 2567
- ผู้โจมตีแอบอ้างตัวเป็นผู้รับจ้างเดิม โดยส่งมัลแวร์ผ่านข้อความที่ปลอมแปลงใน Telegram
- มัลแวร์ช่วยให้การทำธุรกรรมที่เป็นอันตรายได้ ในขณะที่แสดงข้อมูลที่เป็นมิตรในหน้าตาของส่วนติดต่อผู้ใช้ของ Radiant
ในรายงานติดตามล่าสุดเกี่ยวกับการละเมิดนี้ ราเดียนท์ ได้รับการสนับสนุนจาก Mandiant เพื่อเปิดเผยรายละเอียดเพิ่มเติม ในวันที่ 11 กันยายน 2024 นักพัฒนาซอฟต์แวร์ของราเดียนท์ได้รับข้อความจากโทรเลขจากผู้ที่เลียนแบบเป็นนักสัญญาณที่เคยทำงานร่วมกันในอดีต
ข้อความนั้น ที่เค้าอ้างว่ามาจากผู้รับจ้างเก่า ได้รวมลิงก์ไปยัง PDF ที่ถูกบีบอัดอยู่ ที่ฉันสนใจคือเรื่องที่เกี่ยวข้องกับโครงการตรวจสอบสัญญาอัจฉริยะใหม่ และเอกสารนั้นต้องการความคิดเห็นจากผู้เชี่ยวชาญ
โดเมนที่เชื่อมโยงกับไฟล์ ZIP จำลองเว็บไซต์ที่ถูกต้องของผู้รับจ้างได้อย่างน่าเชื่อถือ และคำขอดูเหมือนจะเป็นประจำในวงการมืออาชีพ นักพัฒนามักจะแลกเปลี่ยน PDF สำหรับงานที่เหมือนกับการตรวจสอบทางกฎหมายหรือการตรวจสอบทางเทคนิค ทำให้ลดข้อสงสัยเบื้องต้น
ไว้วางใจในแหล่งที่มา เจ้าของไฟล์จึงได้แบ่งปันไฟล์ดังกล่าวให้กับคณะทำงานของตน โดยไม่ได้ตั้งใจเตรียมเวทีสำหรับการปล้นทางไซเบอร์
โดยที่ทีม Radiant ไม่รู้เรื่อง ไฟล์ ZIP ที่ได้รับนั้นเป็นที่พักอาศัยของ INLETDRIFT, มัลแวร์ macOS ชั้นสูงที่ถูกปลอมแปลงภายในเอกสาร “ถูกต้อง” หลังจากการเปิดใช้งาน มัลแวร์ดังกล่าวได้สร้างการเชื่อมต่อที่ยาวนานผ่าน backdoor โดยใช้ AppleScript ที่มีลักษณะทำลายล้าง
การออกแบบของมัลแวร์นั้นซับซ้อนมาก โดยจะแสดงเอกสาร PDF ที่น่าเชื่อถือให้กับผู้ใช้ ในขณะที่ทำงานอย่างลับ ๆ ในเบื้องหลัง
แม้ว่า Radiant จะมีการปฏิบัติด้านความมั่นคงปลอดภัยที่เข้มงวดเสมอ ได้แก่ การจำลองธุรกรรม การตรวจสอบ payload และการปฏิบัติตามขั้นตอนการดำเนินการที่ได้มาตรฐานของอุตสาหกรรม (SOPs) แต่มัลแวร์ยังสามารถเข้าไปและทำลายอุปกรณ์ของนักพัฒนาหลายเครื่องได้สำเร็จ
ผู้โจมตีใช้ช่องโหว่ในการเซ็นต์แบบบอดและหลอกลวงส่วนต่อประสานผู้ใช้ด้านหน้า โดยแสดงข้อมูลธุรกรรมที่ดูป harmless เพื่อปกปิดกิจกรรมที่ม malicious. ผลที่ตามมาคือการทำธุรกรรมที่ผิดกฎหมายโดยไม่ถูกตรวจจับ.
ในการเตรียมการปล้น, ผู้โจมตีได้จัดการสัญญาอัจฉริยะที่ม malicious ขึ้นหลายแพลตฟอร์ม ได้แก่ Arbitrum, Binance Smart Chain, Base, และ Ethereum. เพียงสามนาทีหลังจากการปล้น, พวกเขาก็ลบร่องรอยของ backdoor และส่วนขยายของเบราว์เซอร์.
การปล้นถูกดำเนินการด้วยความแม่นยำ: เพียงสามนาทีหลังจากการโอนเงินที่ถูกขโมย, ผู้โจมตีได้ลบร่องรอยของ backdoor และส่วนขยายบราวเซอร์ที่เกี่ยวข้อง, ทำให้การวิเคราะห์หลักฐานยิ่งยากขึ้น
Mandiant มอบความรับผิดชอบในการโจมตีนี้ให้กับ UNC4736, ที่เรียกว่า AppleJeus หรือ Citrine Sleet, กลุ่มที่มีความเชื่อมโยงกับสำนักข่าวสืบสวนทั่วไปของเกาหลีเหนือ (RGB). คดีนี้เน้นความอ่อนแอในการลงชื่ออย่างบอดบาทและการตรวจสอบฝั่งหน้า, โดยเน้นความต้องการเร่งด่วนของโซลูชันระดับฮาร์ดแวร์ในการตรวจสอบส่วนประกอบของรายการธุรกรรม
Radiant ร่วมมือกับหน่วยงานบังคับคดีของสหรัฐอเมริกา, Mandiant, และ zeroShadow เพื่อตระหนักรวมสินทรัพย์ที่ขโมยไป ซึ่ง The DAO ยังคงมุ่งมั่นในการสนับสนุนการกู้คืนและแบ่งปันความรู้เพื่อปรับปรุงมาตรฐานความปลอดภัยในอุตสาหกรรม
เรื่องราวก่อนหน้านี้
บทความล่าสุด 
แสดงความคิดเห็น
ยกเลิก