UNC4736 APT IOCs - Part 2

security IOC

Mandiant приписывает похищение криптовалюты на сумму 50 миллионов долларов США из Radiant Capital, произошедшее в октябре 2024 года, злоумышленнику UNC4736, связанному с северокорейским государством.

UNC4736 APT

Злоумышленники использовали сложное вредоносное ПО, чтобы атаковать трех доверенных разработчиков Radiant, децентрализованной финансовой платформы (DeFi). Они скомпрометировали устройства разработчиков для выполнения несанкционированных транзакций, используя процесс мультиподписи и похищая средства с рынков Arbitrum и Binance Smart Chain. Первоначальное проникновение началось 11 сентября 2024 года, когда разработчика Radiant обманом заставили загрузить вредоносный ZIP-файл через сообщение в Telegram, которое оказалось от бывшего подрядчика. Подрядчик сообщил, что ищет новые возможности для карьерного роста, и попросил оставить отзыв о предполагаемом начинании. Сообщение включало ZIP-файл, содержащий ложный PDF-файл и вредоносную программу для macOS под названием «InletDrift», которая создавала бэкдор на зараженном устройстве. Radiant Capital заявила, что запросы на просмотр PDF-файлов являются обычным делом в профессиональной среде, и что после компрометации устройства демонстрировали лишь незначительные сбои и сообщения об ошибках при подписании, типичные для аппаратных кошельков и Safe. Кроме того, домен, присланный вместе с ZIP-файлом, был подделан под реальный сайт бывшего подрядчика.

Несмотря на меры безопасности Radiant, включая моделирование транзакций и уровни верификации, атака осталась незамеченной, поскольку она была разработана таким образом, чтобы отображать на интерфейсах доброкачественные данные о транзакциях, подписывая при этом вредоносные транзакции в фоновом режиме. Компания Mandiant, помогающая в расследовании, с высокой степенью уверенности считает, что за атакой стоит UNC4736 (отслеживаемый Microsoft как Citrine Sleet). Radiant сотрудничает с правоохранительными органами США и компанией zeroShadow, чтобы вернуть похищенные средства, и подчеркивает необходимость более надежных решений безопасности на уровне устройств для предотвращения таких сложных атак в будущем. ZeroShadow также с большой долей уверенности приписывает этот инцидент КНДР.

Indicators of Compromise

Domains

  • atokyonews.com
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий