Útočná kampaň PurpleBravo
Analytici v oblasti hrozeb identifikovali 3 136 individuálních IP adres spojených s pravděpodobnými cíli kampaně Contagious Interview. Operace se pravděpodobně účastní 20 potenciálních organizací, které se staly oběťmi a působí v oblasti umělé inteligence, kryptoměn, finančních služeb, IT služeb, marketingu a vývoje softwaru. Dotčené subjekty se nacházejí v Evropě, Jižní Asii, na Středním východě a ve Střední Americe, což podtrhuje globální rozsah této aktivity.
IP adresy, převážně koncentrované v jižní Asii a Severní Americe, byly údajně napadeny mezi srpnem 2024 a zářím 2025. Dotčené společnosti údajně sídlí v Belgii, Bulharsku, Kostarice, Indii, Itálii, Nizozemsku, Pákistánu, Rumunsku, Spojených arabských emirátech a Vietnamu.
Obsah
PurpleBravo: Plodný severokorejský shluk hrozeb
Aktivita je připisována klastru propojenému se Severní Koreou, sledovanému jako PurpleBravo, který byl poprvé zdokumentován koncem roku 2023. Tato skupina je v bezpečnostní komunitě známá pod různými označeními, což odráží široké sledování v tomto odvětví:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi a WaterPlum
Společnost PurpleBravo prokázala trvalé investice do dlouhodobé infrastruktury, řemesel sociálního inženýrství a vývoje malwaru, a to v souladu s cíli, které kombinují kybernetickou špionáž a finanční krádeže.
Využití náborového procesu a ekosystému vývojářů
Nedávná zjištění navazují na odhalení zásadního vývoje kampaně Contagious Interview, v níž útočníci využívají škodlivé projekty Microsoft Visual Studio Code k distribuci zadních vrátek. Tato taktika zneužívá důvěryhodné nástroje a pracovní postupy pro vývojáře, čímž zvyšuje pravděpodobnost úspěšného napadení.
Výzkumníci identifikovali podvodné profily na LinkedInu, které se vydávají za vývojáře a náboráře a tvrdí, že působí z Oděsy na Ukrajině, a také škodlivé repozitáře GitHub určené k distribuci malwaru, jako je BeaverTail. V několika případech údajně uchazeči o zaměstnání spustili škodlivý kód na firemních zařízeních, čímž se kompromitace rozšířila i mimo jednotlivce a přímo do podnikového prostředí.
Arsenál malwaru a infrastruktura velení
PurpleBravo provozuje oddělené infrastruktury velení a řízení pro podporu více rodin malwaru. Patří mezi ně BeaverTail, nástroj pro zkrádání a zavádění informací založený na JavaScriptu, a GolangGhost (sledovaný také jako FlexibleFerret nebo WeaselStore), backdoor založený na Go odvozený z open-source projektu HackBrowserData.
Servery C2 skupiny jsou rozmístěny u 17 poskytovatelů hostingu a spravovány prostřednictvím Astrill VPN, přičemž aktivita správy je vysledována k rozsahům IP adres v Číně. Používání Astrill VPN bylo opakovaně zdokumentováno v předchozích severokorejských kybernetických operacích, což posiluje důvěru v atribuci.
Konvergence s hrozbou „náměšťáka“ v podobě IT pracovníků
Předpokládá se, že kampaň Contagious Interview doplňuje samostatnou, ale související kampaň známou jako Wagemole (PurpleDelta). Tato operace zahrnuje severokorejské IT pracovníky, kteří si zajišťují neoprávněné zaměstnání pod kradenými nebo vymyšlenými identitami, primárně za účelem generování příjmů a provádění špionáže. Ačkoli Wagemole působí od roku 2017 a je sledován jako samostatný klastr, vyšetřovatelé odhalili značné taktické a infrastrukturní překrývání.
Mezi pozorovanými propojeními jsou operátoři PurpleBravo vykazující chování shodné se severokorejskými IT pracovníky, ruské IP adresy spojené se známou aktivitou IT pracovníků komunikujících s infrastrukturou PurpleBravo a sdílené VPN uzly Astrill spojené s oběma clustery.
Rostoucí rizika v dodavatelském řetězci a podniku
Obzvláště znepokojivým trendem je používání fiktivních pracovních nabídek, které mají nalákat kandidáty k absolvování testů kódování na systémech vlastněných zaměstnavatelem, čímž se náborový podvod efektivně promění ve vektor narušení podniku. To ukazuje, že dodavatelský řetězec softwaru a IT je vysoce náchylný k infiltraci, a to i mimo dobře medializované programy zaměstnávání IT pracovníků.
Mnoho cílových organizací inzeruje rozsáhlé zákaznické základny, což zesiluje potenciál pro kompromitaci dodavatelského řetězce. Bezpečnostní výzkumníci varují, že ačkoli se hrozbě ze strany severokorejských IT pracovníků dostalo široké pozornosti, model infiltrace dodavatelského řetězce PurpleBravo si zaslouží stejnou prioritu. Organizace jsou vyzývány k posílení náborových procesů, kontrolních mechanismů vývojářského prostředí a řízení rizik třetích stran s cílem odhalit, narušit a předcházet vystavení citlivých dat severokorejským aktérům hrozby.
