Radiant Capital, Ekim ayında merkezi olmayan finans (DeFi) platformundaki 50 milyon dolarlık bir hack olayının, bir Kuzey Kore destekli hacker tarafından eski bir müteahhit gibi davranarak Telegram üzerinden gönderilen kötü amaçlı yazılım aracılığıyla gerçekleştirildiğini söyledi.
Radiant, 6 Aralık güncellemesinde devam eden soruşturmanın bir parçası olarak sözleşmeli güvenlik şirketi Mandiant'ın "bu saldırının Demokratik Halkın Kore Cumhuriyeti (DPRK)-nexus tehdit aktörüne atfedilebilir olduğunu" yüksek bir güvenlikle değerlendirdiğini belirtti.
Platform, bir Radiant geliştiricisinin 11 Eylül'de "güvenilir bir eski yükleniciden" planladıkları yeni bir girişim hakkında geri bildirim isteyen bir zip dosyası içeren bir Telegram mesajı aldığını söyledi.
“İnceleme sonucunda, bu ileti eski müteahhitin sahteciliği yapmış olan DPRK ile ilişkili bir tehdit aktöründen kaynaklanmış olabileceği şüphesiyle karşılaşılmıştır,” denildi. “Bu ZIP dosyası, diğer geliştiriciler arasında geri bildirim için paylaşıldığında, sonraki sızıntıyı kolaylaştıran kötü amaçlı yazılımı sunmuştur.”
16 Ekim'de, hacker birkaç imzacının özel anahtarlarını ele geçirdikten ve akıllı sözleşmeleri kontrol ettikten sonra, DeFi platformu kredi piyasalarını durdurmak zorunda kaldı.
Kuzey Koreli hacker grupları, 12 Kasım'da phishing e-postaları, sahte PDF uygulamaları ve Apple'ın güvenlik kontrollerinden kaçmak için bir teknik kullanarak macOS kullanıcılarını hedef alan yeni bir kötü amaçlı yazılım kampanyasında yakalandı.
Ekim ayında, Kuzey Koreli hackerlar, kripto cüzdan kimlik bilgilerini çalmak için Google Chrome'un bir güvenlik açığını da kullandıkları ortaya çıktı.
Kaynak:Radiant Capital
Radiant, dosyanın başka herhangi bir şüphe uyandırmadığını çünkü "PDF'leri incelemek için yapılan talepler, profesyonel ortamlarda rutin olarak gerçekleştirilir" ve geliştiriciler "bu formatta sık sık belgeler paylaşırlar."
ZIP dosyasıyla ilişkili alan adı, yüklenicinin meşru web sitesini de taklit etti.
Saldırı sırasında birden fazla Yansıtan geliştirici cihazı tehlikeye girdi ve ön uç arayüzleri zararsız işlem verilerini gösterirken kötü niyetli işlemler arka planda imzalandı.
"Geleneksel kontroller ve simülasyonlar, tehdidin normal inceleme aşamalarında neredeyse görünmez olmasını sağladığı için açık bir tutarsızlık göstermedi," diye ekledi.
Bu aldatma, Radiant'ın standart en iyi uygulamaları olan işlemleri Tenderly'de simüle etme, yük veri kontrolü yapma ve her adımda endüstri standardı SOP'lerini takip etme gibi işlemleri gerçekleştirdiği halde, saldırganların birden fazla geliştirici cihazını ele geçirmesine olanak tanıyan şekilde sorunsuz bir şekilde gerçekleştirildiği belirtildi.
Kötü niyetli bir hacker grubu tarafından kullanılabilecek bir tuzak PDF örneği. Kaynak:Radiant Capital
Radiant Capital, tehdit oluşturan aktörün "UNC4736" olarak bilinen ve aynı zamanda "Citrine Sleet" olarak bilinen Kuzey Kore'nin ana istihbarat ajansı olan Keşif Genel Bürosu (RGB) ile uyumlu olması ve hackleme kolektifi Lazarus Grubu'nun bir alt kümesi olduğuna inanılan kişi olduğuna inanıyor.
Hackerlar, 24 Ekim'deki olaydan çalınan fonların yaklaşık 52 milyon dolarını taşıdı.
"Bu olay, hatta sıkı standart işletme prosedürleri, donanım cüzdanları, Tenderly gibi simülasyon araçları ve dikkatli insan incelemeleri gibi şeylerin bile son derece gelişmiş tehdit aktörleri tarafından atlatılabileceğini göstermektedir," Radiant Capital güncellemesinde belirtti.
İlgili:Radiant Capital $58M hack bir DeFi için pahalı bir 'ders'
“Kör imzalama ve sahtecilik yapılabilen ön uç doğrulamalara olan bağımlılık, işlem yüklerini çözme ve doğrulama için daha güçlü, donanım düzeyinde çözümlerin geliştirilmesini gerektirir,” dedi.
Bu yıl Radiant'ın ilk kez tehlikeye düşmediği değil. Platform, 4.5 milyon dolarlık bir flash kredi saldırısının ardından Ocak ayında kredi piyasalarını durdurdu.
Bu yılki iki saldırıdan sonra, Radiant'ın toplam kilitlenmiş değeri önemli ölçüde düştü, geçen yılın sonunda 300 milyon doların üzerindeyken 9 Aralık itibariyle yaklaşık 5,81 milyon dolara düştü, DefiLlama'ya göre.
Dergi:BTC 100.000 doları vuruyor, Trump SEC başkanlığı için Paul Atkins'i seçiyor ve daha fazlası: Hodler’ın Özeti, 1 - 7 Aralık
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Radiant Capital, Kuzey Kore'nin eski bir yüklenici gibi görünerek 50 milyon dolarlık bir saldırı düzenlediğini söylüyor.
Radiant Capital, Ekim ayında merkezi olmayan finans (DeFi) platformundaki 50 milyon dolarlık bir hack olayının, bir Kuzey Kore destekli hacker tarafından eski bir müteahhit gibi davranarak Telegram üzerinden gönderilen kötü amaçlı yazılım aracılığıyla gerçekleştirildiğini söyledi.
Radiant, 6 Aralık güncellemesinde devam eden soruşturmanın bir parçası olarak sözleşmeli güvenlik şirketi Mandiant'ın "bu saldırının Demokratik Halkın Kore Cumhuriyeti (DPRK)-nexus tehdit aktörüne atfedilebilir olduğunu" yüksek bir güvenlikle değerlendirdiğini belirtti.
Platform, bir Radiant geliştiricisinin 11 Eylül'de "güvenilir bir eski yükleniciden" planladıkları yeni bir girişim hakkında geri bildirim isteyen bir zip dosyası içeren bir Telegram mesajı aldığını söyledi.
“İnceleme sonucunda, bu ileti eski müteahhitin sahteciliği yapmış olan DPRK ile ilişkili bir tehdit aktöründen kaynaklanmış olabileceği şüphesiyle karşılaşılmıştır,” denildi. “Bu ZIP dosyası, diğer geliştiriciler arasında geri bildirim için paylaşıldığında, sonraki sızıntıyı kolaylaştıran kötü amaçlı yazılımı sunmuştur.”
16 Ekim'de, hacker birkaç imzacının özel anahtarlarını ele geçirdikten ve akıllı sözleşmeleri kontrol ettikten sonra, DeFi platformu kredi piyasalarını durdurmak zorunda kaldı.
Kuzey Koreli hacker grupları, 12 Kasım'da phishing e-postaları, sahte PDF uygulamaları ve Apple'ın güvenlik kontrollerinden kaçmak için bir teknik kullanarak macOS kullanıcılarını hedef alan yeni bir kötü amaçlı yazılım kampanyasında yakalandı.
Ekim ayında, Kuzey Koreli hackerlar, kripto cüzdan kimlik bilgilerini çalmak için Google Chrome'un bir güvenlik açığını da kullandıkları ortaya çıktı.
Kaynak: Radiant Capital![Hackers, North Korea]()
Radiant, dosyanın başka herhangi bir şüphe uyandırmadığını çünkü "PDF'leri incelemek için yapılan talepler, profesyonel ortamlarda rutin olarak gerçekleştirilir" ve geliştiriciler "bu formatta sık sık belgeler paylaşırlar."
ZIP dosyasıyla ilişkili alan adı, yüklenicinin meşru web sitesini de taklit etti.
Saldırı sırasında birden fazla Yansıtan geliştirici cihazı tehlikeye girdi ve ön uç arayüzleri zararsız işlem verilerini gösterirken kötü niyetli işlemler arka planda imzalandı.
"Geleneksel kontroller ve simülasyonlar, tehdidin normal inceleme aşamalarında neredeyse görünmez olmasını sağladığı için açık bir tutarsızlık göstermedi," diye ekledi.
Bu aldatma, Radiant'ın standart en iyi uygulamaları olan işlemleri Tenderly'de simüle etme, yük veri kontrolü yapma ve her adımda endüstri standardı SOP'lerini takip etme gibi işlemleri gerçekleştirdiği halde, saldırganların birden fazla geliştirici cihazını ele geçirmesine olanak tanıyan şekilde sorunsuz bir şekilde gerçekleştirildiği belirtildi.
Kötü niyetli bir hacker grubu tarafından kullanılabilecek bir tuzak PDF örneği. Kaynak: Radiant Capital![Hackers, North Korea]()
Radiant Capital, tehdit oluşturan aktörün "UNC4736" olarak bilinen ve aynı zamanda "Citrine Sleet" olarak bilinen Kuzey Kore'nin ana istihbarat ajansı olan Keşif Genel Bürosu (RGB) ile uyumlu olması ve hackleme kolektifi Lazarus Grubu'nun bir alt kümesi olduğuna inanılan kişi olduğuna inanıyor.
Hackerlar, 24 Ekim'deki olaydan çalınan fonların yaklaşık 52 milyon dolarını taşıdı.
"Bu olay, hatta sıkı standart işletme prosedürleri, donanım cüzdanları, Tenderly gibi simülasyon araçları ve dikkatli insan incelemeleri gibi şeylerin bile son derece gelişmiş tehdit aktörleri tarafından atlatılabileceğini göstermektedir," Radiant Capital güncellemesinde belirtti.
İlgili: Radiant Capital $58M hack bir DeFi için pahalı bir 'ders'
“Kör imzalama ve sahtecilik yapılabilen ön uç doğrulamalara olan bağımlılık, işlem yüklerini çözme ve doğrulama için daha güçlü, donanım düzeyinde çözümlerin geliştirilmesini gerektirir,” dedi.
Bu yıl Radiant'ın ilk kez tehlikeye düşmediği değil. Platform, 4.5 milyon dolarlık bir flash kredi saldırısının ardından Ocak ayında kredi piyasalarını durdurdu.
Bu yılki iki saldırıdan sonra, Radiant'ın toplam kilitlenmiş değeri önemli ölçüde düştü, geçen yılın sonunda 300 milyon doların üzerindeyken 9 Aralık itibariyle yaklaşık 5,81 milyon dolara düştü, DefiLlama'ya göre.
Dergi: BTC 100.000 doları vuruyor, Trump SEC başkanlığı için Paul Atkins'i seçiyor ve daha fazlası: Hodler’ın Özeti, 1 - 7 Aralık