Εκστρατεία Επίθεσης PurpleBravo
Οι αναλυτές πληροφοριών για απειλές έχουν εντοπίσει 3.136 μεμονωμένες διευθύνσεις IP που συνδέονται με πιθανούς στόχους της εκστρατείας Contagious Interview. Πιστεύεται ότι η επιχείρηση περιλαμβάνει 20 πιθανά θύματα που δραστηριοποιούνται στους τομείς της τεχνητής νοημοσύνης, των κρυπτονομισμάτων, των χρηματοοικονομικών υπηρεσιών, των υπηρεσιών πληροφορικής, του μάρκετινγκ και της ανάπτυξης λογισμικού. Οι οντότητες που επηρεάζονται εκτείνονται στην Ευρώπη, τη Νότια Ασία, τη Μέση Ανατολή και την Κεντρική Αμερική, υπογραμμίζοντας το παγκόσμιο εύρος της δραστηριότητας.
Οι διευθύνσεις IP, οι οποίες συγκεντρώνονται κυρίως στη Νότια Ασία και τη Βόρεια Αμερική, εκτιμάται ότι στοχοποιήθηκαν μεταξύ Αυγούστου 2024 και Σεπτεμβρίου 2025. Οι εταιρείες που επηρεάστηκαν φέρεται να εδρεύουν στο Βέλγιο, τη Βουλγαρία, την Κόστα Ρίκα, την Ινδία, την Ιταλία, την Ολλανδία, το Πακιστάν, τη Ρουμανία, τα Ηνωμένα Αραβικά Εμιράτα και το Βιετνάμ.
Πίνακας περιεχομένων
PurpleBravo: Ένα παραγωγικό σύμπλεγμα απειλών από τη Βόρεια Κορέα
Η δραστηριότητα αποδίδεται σε ένα σύμπλεγμα που συνδέεται με τη Βόρεια Κορέα και εντοπίστηκε ως PurpleBravo, το οποίο καταγράφηκε για πρώτη φορά στα τέλη του 2023. Αυτή η ομάδα είναι γνωστή στην κοινότητα ασφαλείας με πολλαπλές ονομασίες, γεγονός που αντικατοπτρίζει την ευρεία παρακολούθηση του κλάδου:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi και WaterPlum
Η PurpleBravo έχει επιδείξει βιώσιμες επενδύσεις σε μακροπρόθεσμες υποδομές, εμπορικές πρακτικές κοινωνικής μηχανικής και ανάπτυξη κακόβουλου λογισμικού, ευθυγραμμιζόμενη με στόχους που συνδυάζουν την κυβερνοκατασκοπεία και την οικονομική κλοπή.
Αξιοποίηση της Διαδικασίας Πρόσληψης και του Οικοσυστήματος Προγραμματιστών
Πρόσφατα ευρήματα έρχονται μετά την αποκάλυψη μιας σημαντικής εξέλιξης στην καμπάνια Contagious Interview, στην οποία οι αντίπαλοι χρησιμοποιούν κακόβουλα έργα κώδικα του Microsoft Visual Studio για να διανέμουν backdoors. Αυτή η τακτική καταχράται αξιόπιστα εργαλεία και ροές εργασίας προγραμματιστών, αυξάνοντας την πιθανότητα επιτυχούς παραβίασης.
Ερευνητές εντόπισαν δόλια ονόματα χρήστη (persona) του LinkedIn που παριστάνουν τους προγραμματιστές και τους recruiters, ισχυριζόμενοι ότι λειτουργούν από την Οδησσό της Ουκρανίας, μαζί με κακόβουλα αποθετήρια GitHub που έχουν σχεδιαστεί για τη διανομή κακόβουλου λογισμικού όπως το BeaverTail. Σε πολλά περιστατικά, υποψήφιοι που αναζητούσαν εργασία φέρεται να εκτέλεσαν κακόβουλο κώδικα σε εταιρικές συσκευές, επεκτείνοντας την παραβίαση πέρα από τα άτομα και απευθείας σε εταιρικά περιβάλλοντα.
Οπλοστάσιο κακόβουλου λογισμικού και υποδομή διοίκησης
Το PurpleBravo λειτουργεί ξεχωριστές υποδομές εντολών και ελέγχου για την υποστήριξη πολλαπλών οικογενειών κακόβουλου λογισμικού. Αυτές περιλαμβάνουν το BeaverTail, ένα πρόγραμμα κλοπής και φόρτωσης πληροφοριών που βασίζεται σε JavaScript, και το GolangGhost (που παρακολουθείται επίσης ως FlexibleFerret ή WeaselStore), ένα backdoor που βασίζεται σε Go και προέρχεται από το έργο ανοιχτού κώδικα HackBrowserData.
Οι διακομιστές C2 της ομάδας κατανέμονται σε 17 παρόχους φιλοξενίας και διαχειρίζονται μέσω του Astrill VPN, με τη δραστηριότητα διαχείρισης να εντοπίζεται σε περιοχές IP στην Κίνα. Η χρήση του Astrill VPN έχει επανειλημμένα τεκμηριωθεί σε προηγούμενες κυβερνοεπιχειρήσεις στη Βόρεια Κορέα, ενισχύοντας την εμπιστοσύνη στην απόδοση.
Σύγκλιση με την απειλή των εργαζομένων πληροφορικής «Wagemole»
Η Contagious Interview αξιολογείται για να συμπληρώσει μια ξεχωριστή αλλά σχετική καμπάνια γνωστή ως Wagemole (PurpleDelta). Αυτή η επιχείρηση περιλαμβάνει εργαζόμενους πληροφορικής της Βόρειας Κορέας που εξασφαλίζουν μη εξουσιοδοτημένη απασχόληση με κλεμμένες ή κατασκευασμένες ταυτότητες, κυρίως για τη δημιουργία εσόδων και τη διεξαγωγή κατασκοπείας. Παρόλο που η Wagemole δραστηριοποιείται από το 2017 και παρακολουθείται ως ξεχωριστή ομάδα, οι ερευνητές έχουν αποκαλύψει αξιοσημείωτες τακτικές και υποδομικές επικαλύψεις.
Οι παρατηρούμενοι σύνδεσμοι περιλαμβάνουν χειριστές PurpleBravo που επιδεικνύουν συμπεριφορά συμβατή με τους εργαζόμενους πληροφορικής της Βόρειας Κορέας, ρωσικές διευθύνσεις IP που συνδέονται με γνωστή δραστηριότητα εργαζομένων πληροφορικής που επικοινωνούν με την υποδομή PurpleBravo και κοινόχρηστους κόμβους VPN Astrill που σχετίζονται και με τα δύο clusters.
Κλιμάκωση του κινδύνου στην αλυσίδα εφοδιασμού και στις επιχειρήσεις
Μια ιδιαίτερα ανησυχητική τάση είναι η χρήση πλασματικών προσφορών εργασίας για να παρασυρθούν οι υποψήφιες να ολοκληρώσουν αξιολογήσεις κωδικοποίησης σε συστήματα που ανήκουν σε εργοδότες, μετατρέποντας ουσιαστικά μια απάτη πρόσληψης σε φορέα εισβολής σε επιχειρήσεις. Αυτό καταδεικνύει ότι η αλυσίδα εφοδιασμού λογισμικού και πληροφορικής είναι ιδιαίτερα ευάλωτη σε διείσδυση, ακόμη και εκτός των ευρέως δημοσιευμένων προγραμμάτων απασχόλησης εργαζομένων πληροφορικής.
Πολλοί από τους στοχευμένους οργανισμούς διαφημίζουν μεγάλες πελατειακές βάσεις, ενισχύοντας την πιθανότητα παραβίασης της αλυσίδας εφοδιασμού κατάντη. Οι ερευνητές ασφαλείας προειδοποιούν ότι, ενώ η απειλή των εργαζομένων πληροφορικής της Βόρειας Κορέας έχει λάβει ευρεία προσοχή, το μοντέλο PurpleBravo της διείσδυσης στην αλυσίδα εφοδιασμού δικαιολογεί ίση προτεραιότητα. Οι οργανισμοί καλούνται να ενισχύσουν τις διαδικασίες πρόσληψης, τους ελέγχους περιβάλλοντος προγραμματιστών και τη διαχείριση κινδύνου τρίτων για την ανίχνευση, τη διακοπή και την αποτροπή της έκθεσης ευαίσθητων δεδομένων σε βορειοκορεάτες απειλητικούς παράγοντες.
