Кампанията „Атака на PurpleBravo“
Анализатори на заплахи са идентифицирали 3136 индивидуални IP адреса, свързани с вероятни цели на кампанията „Contagious Interview“. Смята се, че операцията включва 20 потенциални организации-жертви, работещи в сферата на изкуствения интелект, криптовалутите, финансовите услуги, ИТ услугите, маркетинга и разработването на софтуер. Засегнатите организации обхващат Европа, Южна Азия, Близкия изток и Централна Америка, което подчертава глобалния обхват на дейността.
IP адресите, концентрирани предимно в Южна Азия и Северна Америка, се считат за мишени между август 2024 г. и септември 2025 г. Засегнатите компании са базирани в Белгия, България, Коста Рика, Индия, Италия, Нидерландия, Пакистан, Румъния, Обединените арабски емирства и Виетнам.
Съдържание
PurpleBravo: Плодовит клъстер от севернокорейски заплахи
Активността се приписва на свързан със Северна Корея клъстер, проследен като PurpleBravo, документиран за първи път в края на 2023 г. Тази група е известна в общността за сигурност под множество обозначения, което отразява широкото проследяване в индустрията:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi и WaterPlum
PurpleBravo демонстрира устойчиви инвестиции в дългосрочна инфраструктура, социално инженерство и разработване на зловреден софтуер, съчетавайки кибершпионаж и финансови кражби.
Използване на процеса на наемане и екосистемата на разработчиците
Последните открития идват след разкриването на голяма еволюция в кампанията „Contagious Interview“, в която злонамерени злонамерени проекти на Microsoft Visual Studio Code използват като оръжие за разпространение на задни врати. Тази тактика злоупотребява с надеждни инструменти и работни процеси за разработчици, увеличавайки вероятността от успешно компрометиране.
Изследователи са идентифицирали измамни профили в LinkedIn, представящи се за разработчици и recruiters, твърдейки, че работят от Одеса, Украйна, заедно със злонамерени хранилища на GitHub, предназначени за разпространение на зловреден софтуер като BeaverTail. В няколко инцидента, кандидати, търсещи работа, са изпълнявали зловреден код на корпоративни устройства, разширявайки компрометирането отвъд отделните лица и директно в корпоративни среди.
Арсенал от зловреден софтуер и командна инфраструктура
PurpleBravo управлява отделни инфраструктури за командване и контрол, за да поддържа множество семейства зловреден софтуер. Те включват BeaverTail, JavaScript-базиран инструмент за кражба и зареждане на информация, и GolangGhost (проследяван също като FlexibleFerret или WeaselStore), Go-базиран бекдор, производен на проекта с отворен код HackBrowserData.
C2 сървърите на групата са разпределени между 17 хостинг доставчици и се администрират чрез Astrill VPN, като управленската дейност е проследена до IP диапазони в Китай. Използването на Astrill VPN е било многократно документирано в предишни севернокорейски кибероперации, което засилва доверието в атрибуцията.
Сближаване със заплахата от ИТ служителите, представляващи „Wagemole“
Смята се, че „Contagious Interview“ допълва отделна, но свързана кампания, известна като Wagemole (PurpleDelta). Тази операция включва севернокорейски ИТ работници, които си осигуряват неразрешена работа с откраднати или фалшиви самоличности, предимно за генериране на приходи и извършване на шпионаж. Въпреки че Wagemole е активна от 2017 г. и се проследява като отделен клъстер, разследващите са разкрили забележителни тактически и инфраструктурни припокривания.
Наблюдаваните връзки включват оператори на PurpleBravo, показващи поведение, съответстващо на това на севернокорейски ИТ работници, руски IP адреси, свързани с известна активност на ИТ работници, комуникиращи с инфраструктурата на PurpleBravo, и споделени VPN възли на Astrill, свързани с двата клъстера.
Ескалиране на риска във веригата за доставки и предприятията
Особено тревожна тенденция е използването на фиктивни предложения за работа, за да се привлекат кандидати да попълнят тестове за кодиране на системи, собственост на работодателя, като по този начин измамата за набиране на персонал се превръща във вектор за проникване в предприятието. Това показва, че веригата за доставки на софтуер и ИТ е силно податлива на проникване, дори извън добре рекламираните схеми за наемане на ИТ работници.
Много от целевите организации рекламират големи клиентски бази, което увеличава потенциала за компрометиране на веригата за доставки надолу по веригата. Изследователите по сигурността предупреждават, че макар заплахата от севернокорейските ИТ работници да е получила широко внимание, моделът PurpleBravo за проникване във веригата за доставки заслужава същия приоритет. Организациите се призовават да засилят процесите на наемане, контрола върху средата за разработчици и управлението на риска от трети страни, за да откриват, прекъсват и предотвратяват излагането на чувствителни данни на севернокорейските злонамерени лица.
