해커들, 악성 소프트웨어로 레이디언트 자본을 공격, 5천만 달러를 훔친 강도 사건

Radiant Capital의 엔지니어에게 보낸 악성 소프트웨어가 담긴 PDF를 통해 북한 해커들이 5000만 달러 이상을 훔쳤습니다.

최근에 발표된 후속 보고서에서, Mandiant의 도움을 받은 Radiant는 추가적인 세부 사항을 공개했습니다. 2024년 9월 11일, Radiant의 개발자는 위장한 전 직원으로부터 텔레그램 메시지를 받았습니다.

이 메시지는 전직 계약자로부터 온 것으로 추정되며, 압축된 PDF로 연결되는 링크를 포함하고 있습니다. 새로운 스마트 컨트랙트 감사 프로젝트와 관련된 것으로 추정되는 이 문서는 전문적인 피드백을 요구했습니다.

ZIP 파일과 관련된 도메인은 계약자의 합법적인 웹사이트를 믿을 만하게 모방했고, 요청은 전문 분야에서 일상적으로 이루어지는 것처럼 보였습니다. 개발자들은 법률 검토나 기술 감사와 같은 작업을 위해 PDF를 자주 교환하므로, 초기 의심을 줄일 수 있었습니다.

소스를 신뢰하고 받는 사람이 동료들과 파일을 공유함으로써, 무심코 사이버 도난의 무대를 준비했습니다.

Radiant 팀이 모르는 사이에, ZIP 파일에는 “합법적” 문서 내에 위장된 고급 macOS 악성 코드인 INLETDRIFT가 포함되어 있었습니다. 활성화되면 이 악성 코드는 악의적인 AppleScript를 사용하여 지속적인 백도어를 설치했습니다.

해당 악성 소프트웨어의 디자인은 세련되었으며, 사용자에게는 설득력 있는 PDF를 보여주면서 배경에서 은밀하게 작동하였습니다.

Radiant의 철저한 사이버 보안 방식에도 불구하고—거래 시뮬레이션, 페이로드 검증, 그리고 업계 표준 운영 절차(SOPs)를 준수하는 것을 포함하여—이 악성 소프트웨어는 성공적으로 여러 개발자 장치를 침투하고 손상시켰습니다.

공격자들은 블라인드 서명과 위장된 프론트엔드 인터페이스를 이용하여 악의적인 활동을 숨기는 데 무해한 거래 데이터를 표시했습니다. 그 결과, 사기성 거래가 감지되지 않고 실행되었습니다.

이런 도둑질을 준비하기 위해, 공격자들은 Arbitrum, Binance Smart Chain, Base, 그리고 Ethereum 등 여러 플랫폼에 악의적인 스마트 계약을 배치했습니다. 도둑질이 발생한 지 단 세 분 후에 그들은 자신들의 백도어와 브라우저 확장 기능의 흔적을 지웠습니다.

이 강도 행위는 정밀하게 실행되었습니다: 도난당한 자금을 이체한 뒤 3분 만에 공격자들은 자신들의 백도어와 관련 브라우저 확장 기능의 흔적을 모두 지워, 포렌식 분석을 더욱 어렵게 만들었습니다.

Mandiant는 이번 공격을 UNC4736, AppleJeus 또는 Citrine Sleet라고도 알려진, 북한의 정찰총국(RGB)와 연결된 그룹에게 원인을 돌립니다. 이 사건은 블라인드 서명과 프론트엔드 검증에서의 취약점을 부각시키며, 트랜잭션 페이로드를 검증하기 위한 하드웨어 수준의 해결책이 절실하게 필요함을 강조하고 있습니다.

Radiant는 미국 법 집행 기관, Mandiant, 그리고 zeroShadow와 협력하여 도난당한 자산을 동결하고 있습니다. DAO는 복구 노력을 지원하고 업계 전반의 보안 표준을 개선하기 위해 통찰력을 공유하는데 계속 전념하고 있습니다.