Radiant Capitalは、10月16日のサイバー攻撃でハッカーが同社のシステムに侵入した後に発生した5,000万ドルの暗号通貨強奪事件の背後には、北朝鮮の脅威関係者がいるとしている。

この攻撃は、”UNC4736 “と “AppleJeus “の名で知られる北朝鮮の国営ハッカーによって行われたとしている。

米国は以前、暗号通貨会社、取引所、ゲーム会社を標的とする北朝鮮の脅威行為者が、同国の活動を支援するための資金を生み出し、資金洗浄を行っていると警告していた。

10月の事件

Radiantは分散型金融（DeFi）プラットフォームで、ユーザーは複数のブロックチェーン・ネットワークで暗号通貨の預け入れ、借り入れ、管理を行うことができる。

このプラットフォームはArbitrum Layer 2スケーリングシステムによるイーサリアム・ブロックチェーンのセキュリティを利用し、ユーザーがRDNTロッカーを通じてガバナンスに参加し、提案を提出し、アクティブなイニシアチブに投票することを可能にするコミュニティ主導型のシステムで運営されている。

2024年10月16日、Radiantは、不正な取引を実行するためにデバイスが侵害された3人の信頼できる開発者を標的とした「洗練されたマルウェア」によって引き起こされた5000万ドルの侵害に見舞われたと発表した。

ハッカーはルーチンのマルチシグネチャープロセスを悪用し、取引エラーを装って有効な署名を集め、ArbitrumとBinanceのスマートチェーン（BSC）市場から資金を盗んだようだ。

この攻撃はハードウェアウォレットのセキュリティーと複数の検証レイヤーを迂回し、手動チェックとシミュレーションチェックでは取引が正常に見えたことから、高度であることがうかがえる。

北朝鮮に矛先

Mandiant社の支援によるこの攻撃の内部調査を受けて、Radiant社は、使用されたマルウェアとその背後にいる犯人に関する詳細な情報を共有できるようになった。

攻撃の発端は2024年9月11日、Radiantの開発者が元契約者になりすましたTelegramメッセージを受信し、悪意のあるZIPファイルをダウンロードさせたことだった。

このアーカイブには、おとりとして使用されるPDFファイルと「InletDrift」と名付けられたmacOSマルウェアのペイロードが含まれており、感染したデバイスにバックドアを設置した。

Radiant社によると、この攻撃は非常によく設計され、完璧に実行されたため、あらゆるセキュリティ対策を回避することができたという。

「この欺瞞は非常にシームレスに実行されたため、Tenderlyでのトランザクションのシミュレーション、ペイロードデータの検証、すべてのステップにおける業界標準のSOPの遵守など、Radiantの標準的なベストプラクティスをもってしても、攻撃者は複数の開発者のデバイスを危険にさらすことができました」とRadiantは説明しています。

「フロントエンドのインターフェースは良性のトランザクションデータを表示し、悪意のあるトランザクションはバックグラウンドで署名されていました。従来のチェックとシミュレーションでは明らかな不一致は見られず、通常のレビュー段階では脅威はほとんど見えませんでした。

Mandiantは、この攻撃がUNC4736によって行われたと高い信頼性で評価した。UNC4736は、今年初めにGoogle Chromeのゼロデイ脆弱性を悪用したことで暴露されたのと同じ脅威グループである。

ラディアントは、同社のセキュリティ対策がバイパスされたことを踏まえ、取引のセキュリティを強化するため、より強固なデバイスレベルのソリューションの必要性を強調している。

盗まれた資金に関しては、同プラットフォームは可能な限り回収するため、米国の法執行機関およびzeroShadowと協力しているという。