Команда Radiant Capital представила проміжний звіт про жовтневий злом, в якому вказала на північнокорейське хакерське угруповання UNC4736 як основного підозрюваного. Інцидент стався через шкідливий архів, отриманий одним з розробників протоколу.
Про це розповідає Finway
Особливості атаки
Згідно зі звітом, злом відбувся шляхом маніпуляцій з використанням соціальної інженерії. В атаці використовували фальшиве повідомлення від колишнього підрядника з архівом, що містив PDF-файл про новий проект. Підрядник попросив розробників надати відгук про його роботу. Зловмисники підробили домен сайту підрядника, що дозволило приховати шкідливе ПЗ INLETDRIFT, яке створило так званий бекдор.
Деталі розслідування
У звіті зазначається, що до розслідування підключили експертів з Mandiant, а також сервіси zeroShadow, Hypernative та спільноту SEAL 911. Mandiant підтвердила підозри, що за атакою стоїть угруповання UNC4736, відоме також як AppleJeus або Citrine Sleet, яке має зв’язки з владою КНДР.
Експерт ZachXBT додав, що адреса, підозрювана у зломі, активно торгує на біржі Hyperliquid з балансом близько $600 000. У звіті Radiant Capital йдеться про зусилля з заморожування активів, але не наводиться детальна інформація про досягнуті результати. Відзначено, що північнокорейські хакери зазвичай не займаються торгівлею, а відразу виводять активи після атак.