قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار کمپین حمله PurpleBravo

کمپین حمله PurpleBravo

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT)
ترجمه به:

تحلیلگران اطلاعات تهدید، ۳۱۳۶ آدرس IP شخصی مرتبط با اهداف احتمالی کمپین Contagious Interview را شناسایی کرده‌اند. اعتقاد بر این است که این عملیات شامل ۲۰ سازمان قربانی بالقوه است که در حوزه‌های هوش مصنوعی، ارزهای دیجیتال، خدمات مالی، خدمات فناوری اطلاعات، بازاریابی و توسعه نرم‌افزار فعالیت می‌کنند. نهادهای آسیب‌دیده در اروپا، آسیای جنوبی، خاورمیانه و آمریکای مرکزی قرار دارند که نشان‌دهنده دامنه جهانی این فعالیت است.

ارزیابی‌ها نشان می‌دهد که آدرس‌های IP که عمدتاً در جنوب آسیا و آمریکای شمالی متمرکز هستند، بین آگوست ۲۰۲۴ و سپتامبر ۲۰۲۵ مورد هدف قرار گرفته‌اند. طبق گزارش‌ها، شرکت‌های آسیب‌دیده در بلژیک، بلغارستان، کاستاریکا، هند، ایتالیا، هلند، پاکستان، رومانی، امارات متحده عربی و ویتنام مستقر هستند.

PurpleBravo: یک خوشه تهدید فعال کره شمالی

این فعالیت به یک گروه مرتبط با کره شمالی با نام PurpleBravo نسبت داده می‌شود که اولین بار در اواخر سال ۲۰۲۳ ثبت شد. این گروه در جامعه امنیتی با نام‌های مختلفی شناخته می‌شود که نشان‌دهنده ردیابی گسترده در صنعت است:

CL-STA-0240، DeceptiveDevelopment، DEV#POPPER، Famous Chollima، Gwisin Gang، Tenacious Pungsan، UNC5342، Void Dokkaebi و WaterPlum

PurpleBravo سرمایه‌گذاری پایداری را در زیرساخت‌های بلندمدت، فنون مهندسی اجتماعی و توسعه بدافزار نشان داده است و با اهدافی که جاسوسی سایبری و سرقت مالی را در هم می‌آمیزد، همسو است.

بهره‌برداری از فرآیند استخدام و اکوسیستم توسعه‌دهندگان

یافته‌های اخیر پس از افشای یک تحول بزرگ در کمپین Contagious Interview منتشر شده است که در آن دشمنان از پروژه‌های مخرب Microsoft Visual Studio Code برای توزیع درهای پشتی استفاده می‌کنند. این تاکتیک از ابزارها و گردش‌های کاری مورد اعتماد توسعه‌دهندگان سوءاستفاده می‌کند و احتمال نفوذ موفقیت‌آمیز را افزایش می‌دهد.

محققان، افراد متقلب لینکدین را شناسایی کرده‌اند که خود را به عنوان توسعه‌دهنده و استخدام‌کننده جا می‌زنند و ادعا می‌کنند که از اودسا، اوکراین فعالیت می‌کنند، در کنار مخازن مخرب گیت‌هاب که برای توزیع بدافزارهایی مانند BeaverTail طراحی شده‌اند. در چندین حادثه، طبق گزارش‌ها، داوطلبان جویای کار، کد مخرب را روی دستگاه‌های صادر شده توسط شرکت‌ها اجرا کرده‌اند و این نفوذ را فراتر از افراد و مستقیماً به محیط‌های سازمانی گسترش داده‌اند.

زرادخانه بدافزار و زیرساخت فرماندهی

PurpleBravo زیرساخت‌های فرمان و کنترل جداگانه‌ای را برای پشتیبانی از چندین خانواده بدافزار اداره می‌کند. این خانواده‌ها شامل BeaverTail، یک ابزار سرقت و بارگذاری اطلاعات مبتنی بر جاوا اسکریپت، و GolangGhost (که با نام‌های FlexibleFerret یا WeaselStore نیز ردیابی می‌شود)، یک درب پشتی مبتنی بر Go که از پروژه متن‌باز HackBrowserData مشتق شده است، می‌شوند.

سرورهای C2 این گروه در ۱۷ ارائه‌دهنده خدمات میزبانی توزیع شده‌اند و از طریق Astrill VPN مدیریت می‌شوند و فعالیت مدیریتی آنها به محدوده‌های IP در چین ردیابی می‌شود. استفاده از Astrill VPN بارها در عملیات سایبری قبلی کره شمالی مستند شده است و این امر، اطمینان از انتساب این عملیات را تقویت می‌کند.

همگرایی با تهدید «Wagemole» برای کارگران فناوری اطلاعات

مصاحبه مسری به عنوان مکمل یک کمپین جداگانه اما مرتبط با نام Wagemole (PurpleDelta) ارزیابی می‌شود. این عملیات شامل کارمندان فناوری اطلاعات کره شمالی است که با هویت‌های دزدیده شده یا جعلی، استخدام غیرمجاز انجام می‌دهند و عمدتاً برای کسب درآمد و انجام جاسوسی فعالیت می‌کنند. اگرچه Wagemole از سال ۲۰۱۷ فعال بوده و به عنوان یک خوشه مجزا ردیابی می‌شود، اما محققان همپوشانی‌های تاکتیکی و زیرساختی قابل توجهی را کشف کرده‌اند.

پیوندهای مشاهده‌شده شامل رفتارهای مشابه کارکنان فناوری اطلاعات کره شمالی توسط اپراتورهای PurpleBravo، آدرس‌های IP روسی مرتبط با فعالیت کارکنان فناوری اطلاعات شناخته‌شده در ارتباط با زیرساخت PurpleBravo و گره‌های VPN مشترک Astrill مرتبط با هر دو خوشه است.

افزایش ریسک زنجیره تأمین و سازمان

یک روند نگران‌کننده، استفاده از پیشنهادهای شغلی ساختگی برای فریب داوطلبان جهت تکمیل ارزیابی‌های کدنویسی در سیستم‌های متعلق به کارفرما است که عملاً یک کلاهبرداری استخدامی را به یک مسیر نفوذ سازمانی تبدیل می‌کند. این نشان می‌دهد که زنجیره تأمین نرم‌افزار و فناوری اطلاعات، حتی خارج از طرح‌های استخدام کارکنان فناوری اطلاعات که به خوبی تبلیغ می‌شوند، بسیار مستعد نفوذ است.

بسیاری از سازمان‌های هدف، پایگاه‌های مشتری بزرگی را تبلیغ می‌کنند و این امر، پتانسیل به خطر افتادن زنجیره تأمین پایین‌دستی را تقویت می‌کند. محققان امنیتی هشدار می‌دهند که اگرچه تهدید کارکنان فناوری اطلاعات کره شمالی توجه گسترده‌ای را به خود جلب کرده است، مدل نفوذ PurpleBravo در زنجیره تأمین نیز از اولویت یکسانی برخوردار است. از سازمان‌ها خواسته می‌شود فرآیندهای استخدام، کنترل‌های محیط توسعه‌دهندگان و مدیریت ریسک شخص ثالث را تقویت کنند تا داده‌های حساس را شناسایی، مختل و از قرار گرفتن در معرض تهدید کره شمالی جلوگیری کنند.

پرطرفدار

Search.quicksearchsafe.com

وب سایت های سرکش, ربایندگان مرورگر, برنامه های بالقوه ناخواسته
محافظت از دستگاه‌ها در برابر PUPهای (برنامه‌های بالقوه ناخواسته) مزاحم و غیرقابل اعتماد برای حفظ امنیت، حریم خصوصی و ثبات سیستم ضروری است. نرم‌افزارهایی از این نوع اغلب خود را به عنوان ابزارهای...

Imorportabless.com

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
حفظ امنیت آنلاین هرگز تا این حد مهم نبوده است. کاربران هر روز با وب‌سایت‌ها، تبلیغات و پاپ‌آپ‌های بی‌شماری مواجه می‌شوند که بسیاری از آنها نه برای اطلاع‌رسانی، بلکه برای فریب طراحی شده‌اند. صفحات...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
28,668
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...