PurpleBravo Attack-kampagnen
Trusselsanalyseanalytikere har identificeret 3.136 individuelle IP-adresser, der er knyttet til sandsynlige mål for Contagious Interview-kampagnen. Operationen menes at involvere 20 potentielle offerorganisationer, der opererer inden for kunstig intelligens, kryptovaluta, finansielle tjenester, IT-tjenester, marketing og softwareudvikling. De berørte enheder spænder over Europa, Sydasien, Mellemøsten og Centralamerika, hvilket understreger aktivitetens globale omfang.
IP-adresserne, der hovedsageligt er koncentreret i Sydasien og Nordamerika, vurderes at være blevet målrettet mellem august 2024 og september 2025. De berørte virksomheder er angiveligt baseret i Belgien, Bulgarien, Costa Rica, Indien, Italien, Holland, Pakistan, Rumænien, De Forenede Arabiske Emirater og Vietnam.
Indholdsfortegnelse
PurpleBravo: En produktiv nordkoreansk trusselsklynge
Aktiviteten tilskrives en nordkoreansk-tilknyttet klynge, der blev sporet som PurpleBravo, først dokumenteret i slutningen af 2023. Denne gruppe er kendt i sikkerhedsmiljøet under flere betegnelser, hvilket afspejler bred branchesporing:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi og WaterPlum
PurpleBravo har demonstreret vedvarende investeringer i langsigtet infrastruktur, social engineering-håndværk og malware-udvikling, i overensstemmelse med mål, der blander cyberspionage og økonomisk tyveri.
Udnyttelse af ansættelsesprocessen og udviklernes økosystem
Nylige resultater følger afsløringen af en større udvikling i Contagious Interview-kampagnen, hvor modstandere bruger ondsindede Microsoft Visual Studio Code-projekter som våben til at distribuere bagdøre. Denne taktik misbruger betroede udviklerværktøjer og arbejdsgange, hvilket øger sandsynligheden for vellykket kompromittering.
Forskere har identificeret falske LinkedIn-personaer, der udgiver sig for at være udviklere og rekrutteringskonsulenter og hævder at operere fra Odessa, Ukraine, sammen med ondsindede GitHub-lagre designet til at distribuere malware såsom BeaverTail. I flere hændelser har jobsøgende kandidater angiveligt udført ondsindet kode på virksomhedsudstedte enheder, hvilket udvidede kompromitteringen ud over enkeltpersoner og direkte til virksomhedsmiljøer.
Malware-arsenal og kommandoinfrastruktur
PurpleBravo driver separate kommando- og kontrolinfrastrukturer til at understøtte flere malwarefamilier. Disse inkluderer BeaverTail, en JavaScript-baseret infostealer og -loader, og GolangGhost (også kendt som FlexibleFerret eller WeaselStore), en Go-baseret bagdør afledt af open source-projektet HackBrowserData.
Gruppens C2-servere er fordelt på tværs af 17 hostingudbydere og administreres via Astrill VPN, hvor administrationsaktivitet spores til IP-intervaller i Kina. Brugen af Astrill VPN er gentagne gange blevet dokumenteret i tidligere nordkoreanske cyberoperationer, hvilket forstærker tilliden til tilskrivningen.
Konvergens med truslen fra IT-medarbejderne 'Wagemole'
Contagious Interview vurderes at supplere en separat, men relateret kampagne kendt som Wagemole (PurpleDelta). Denne operation involverer nordkoreanske IT-medarbejdere, der sikrer sig uautoriseret beskæftigelse under stjålne eller fabrikerede identiteter, primært for at generere indtægter og udføre spionage. Selvom Wagemole har været aktiv siden 2017 og spores som en separat klynge, har efterforskere afdækket bemærkelsesværdige taktiske og infrastrukturelle overlap.
Observerede links omfatter PurpleBravo-operatører, der udviser adfærd, der stemmer overens med nordkoreanske IT-medarbejderes, russiske IP-adresser knyttet til kendt IT-medarbejderaktivitet, der kommunikerer med PurpleBravo-infrastrukturen, og delte Astrill VPN-noder tilknyttet begge klynger.
Eskalerende forsyningskæde- og virksomhedsrisiko
En særlig bekymrende tendens er brugen af fiktive jobtilbud til at lokke kandidater til at gennemføre kodningsvurderinger på arbejdsgiverejede systemer, hvilket effektivt omdanner rekrutteringssvindel til en virksomhedsindtrængningsvektor. Dette viser, at software- og IT-forsyningskæden er meget modtagelig for infiltration, selv uden for de velkendte IT-medarbejderansættelsesordninger.
Mange af de målrettede organisationer reklamerer med store kundebaser, hvilket forstærker potentialet for kompromittering af forsyningskæden downstream. Sikkerhedsforskere advarer om, at selvom truslen fra nordkoreanske IT-medarbejdere har fået bred opmærksomhed, fortjener PurpleBravo-modellen for infiltration af forsyningskæden lige så høj prioritet. Organisationer opfordres til at styrke ansættelsesprocesser, kontroller af udviklermiljøet og tredjepartsrisikostyring for at opdage, forstyrre og forhindre eksponering af følsomme data for nordkoreanske trusselsaktører.
