PurpleBravo rünnakukampaania
Ohuanalüüsi analüütikud on tuvastanud 3136 individuaalset IP-aadressi, mis on seotud kampaania „Contagious Interview“ tõenäoliste sihtmärkidega. Arvatakse, et operatsioonis osaleb 20 potentsiaalset ohvriorganisatsiooni, mis tegutsevad tehisintellekti, krüptovaluuta, finantsteenuste, IT-teenuste, turunduse ja tarkvaraarenduse valdkonnas. Mõjutatud üksused hõlmavad Euroopat, Lõuna-Aasiat, Lähis-Ida ja Kesk-Ameerikat, mis rõhutab tegevuse globaalset ulatust.
Hinnanguliselt olid rünnaku all olevad IP-aadressid peamiselt Lõuna-Aasias ja Põhja-Ameerikas ning neid rünnati ajavahemikus august 2024 kuni september 2025. Mõjutatud ettevõtted asuvad väidetavalt Belgias, Bulgaarias, Costa Ricas, Indias, Itaalias, Hollandis, Pakistanis, Rumeenias, Araabia Ühendemiraatides ja Vietnamis.
Sisukord
PurpleBravo: viljakas Põhja-Korea ohuklaster
Tegevust omistatakse Põhja-Koreaga seotud klastrile, mida jälgitakse nime all PurpleBravo ja mis dokumenteeriti esmakordselt 2023. aasta lõpus. See rühmitus on turvakogukonnas tuntud mitme nimetuse all, mis peegeldab laialdast jälgimist tööstusharus:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi ja WaterPlum
PurpleBravo on näidanud üles püsivaid investeeringuid pikaajalisse infrastruktuuri, sotsiaalse manipuleerimise valdkonda ja pahavara arendamisse, mis on kooskõlas eesmärkidega, mis ühendavad küberspionaaži ja finantsvargusi.
Värbamisprotsessi ja arendaja ökosüsteemi ärakasutamine
Hiljutised leiud järgnevad olulise arengu avalikustamisele nakkavas intervjuukampaanias, kus vastased kasutavad pahatahtlikke Microsoft Visual Studio koodiprojekte tagauste levitamiseks relvana. See taktika kuritarvitab usaldusväärseid arendustööriistu ja töövooge, suurendades eduka sissetungimise tõenäosust.
Teadlased on tuvastanud petturlikke LinkedIni isikuid, kes esinevad arendajate ja värbajatena ning väidavad, et tegutsevad Odessast Ukrainas, kus tegutsevad pahatahtlikud GitHubi repositooriumid, mis on loodud pahavara (nt BeaverTail) levitamiseks. Mitmel juhul käivitasid tööotsijatest kandidaadid väidetavalt pahatahtliku koodi ettevõtete väljastatud seadmetes, laiendades ohtu üksikisikutest otse ettevõtte keskkondadesse.
Pahavara arsenal ja juhtimisinfrastruktuur
PurpleBravo haldab eraldi käsklus- ja kontrollinfrastruktuure mitme pahavaraperekonna toetamiseks. Nende hulka kuuluvad BeaverTail, JavaScriptil põhinev infovaras ja laadur, ning GolangGhost (tuntud ka kui FlexibleFerret või WeaselStore), Go-põhine tagauks, mis on tuletatud avatud lähtekoodiga HackBrowserData projektist.
Grupi C2-serverid on jaotatud 17 majutusteenuse pakkuja vahel ja neid hallatakse Astrill VPN-i kaudu, kusjuures haldustegevust saab jälgida Hiina IP-vahemikeni. Astrill VPN-i kasutamist on korduvalt dokumenteeritud varasemates Põhja-Korea küberoperatsioonides, mis kinnitab omistamiskindlust.
Konvergents IT-töötajate ohuga „Wagemole”
Hinnangute kohaselt täiendab nakkav intervjuu eraldi, kuid seotud kampaaniat, mida tuntakse Wagemole'i (PurpleDelta) nime all. See operatsioon hõlmab Põhja-Korea IT-töötajaid, kes kindlustavad endale loata töökoha varastatud või väljamõeldud identiteetide abil, peamiselt tulu teenimiseks ja spionaaži läbiviimiseks. Kuigi Wagemole on tegutsenud alates 2017. aastast ja seda jälgitakse eraldi klastrina, on uurijad avastanud märkimisväärseid taktikalisi ja infrastruktuurilisi kattumisi.
Täheldatud seoste hulka kuuluvad PurpleBravo operaatorid, kelle käitumine on kooskõlas Põhja-Korea IT-töötajatega, Venemaa IP-aadressid, mis on seotud teadaoleva IT-töötajate tegevusega PurpleBravo infrastruktuuriga suhtlemisel, ja ühised Astrilli VPN-sõlmed, mis on seotud mõlema klastriga.
Tarneahela ja ettevõtte riski eskaleerumine
Eriti murettekitav trend on fiktiivsete tööpakkumiste kasutamine, et meelitada kandidaate läbima kodeerimisülesandeid tööandjale kuuluvates süsteemides, muutes värbamispettuse sisuliselt ettevõtte sissetungimise vektoriks. See näitab, et tarkvara ja IT-tarneahel on sissetungimise suhtes väga vastuvõtlik, isegi väljaspool laialdaselt avalikustatud IT-töötajate värbamiskavasid.
Paljud sihtmärgiks võetud organisatsioonid reklaamivad suuri kliendibaase, mis võimendab potentsiaalset tarneahela ohtu. Turvaeksperdid hoiatavad, et kuigi Põhja-Korea IT-töötajate oht on pälvinud laialdast tähelepanu, väärib PurpleBravo tarneahela infiltratsioonimudel samaväärset prioriteeti. Organisatsioone kutsutakse üles tugevdama värbamisprotsesse, arendajakeskkonna kontrolli ja kolmandate osapoolte riskijuhtimist, et tuvastada, häirida ja ennetada tundlike andmete kokkupuudet Põhja-Korea ohutegelastega.
