PurpleBravo-hyökkäyskampanja
Uhkatietoanalyytikot ovat tunnistaneet 3 136 yksittäistä IP-osoitetta, jotka liittyvät Contagious Interview -kampanjan todennäköisiin kohteisiin. Operaation uskotaan koskevan 20 potentiaalista uhriorganisaatiota, jotka toimivat tekoälyn, kryptovaluuttojen, rahoituspalveluiden, IT-palveluiden, markkinoinnin ja ohjelmistokehityksen aloilla. Vaikutusalueena olevat toimijat kattavat Euroopan, Etelä-Aasian, Lähi-idän ja Keski-Amerikan, mikä korostaa toiminnan maailmanlaajuista laajuutta.
IP-osoitteiden, jotka keskittyvät pääosin Etelä-Aasiaan ja Pohjois-Amerikkaan, arvioidaan joutuneen hyökkäyksen kohteeksi elokuun 2024 ja syyskuun 2025 välisenä aikana. Kyseisten yritysten kerrotaan sijaitsevan Belgiassa, Bulgariassa, Costa Ricassa, Intiassa, Italiassa, Alankomaissa, Pakistanissa, Romaniassa, Yhdistyneissä arabiemiirikunnissa ja Vietnamissa.
Sisällysluettelo
PurpleBravo: Tuottelias Pohjois-Korean uhkarypäs
Toiminta liitetään Pohjois-Koreaan kytköksissä olevaan PurpleBravo-nimiseen ryppääseen, joka dokumentoitiin ensimmäisen kerran vuoden 2023 lopulla. Ryhmä tunnetaan turvallisuusyhteisössä useilla nimityksillä, mikä heijastaa laajaa alan seurantaa:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi ja WaterPlum
PurpleBravo on osoittanut jatkuvaa panostusta pitkäaikaiseen infrastruktuuriin, sosiaalisen manipuloinnin tekniikkaan ja haittaohjelmien kehittämiseen kybervakoilun ja talousvarkauksien yhdistävien tavoitteidensa mukaisesti.
Rekrytointiprosessin ja kehittäjäekosysteemin hyödyntäminen
Viimeaikaiset löydökset seuraavat Contagious Interview -kampanjan merkittävän kehityksen paljastumista. Kampanjassa vastustajat käyttävät aseina haitallisia Microsoft Visual Studio -koodiprojekteja levittääkseen takaportteja. Tämä taktiikka väärinkäyttää luotettavia kehittäjätyökaluja ja työnkulkuja, mikä lisää onnistuneen tietomurron todennäköisyyttä.
Tutkijat ovat tunnistaneet vilpillisiä LinkedIn-persoonia, jotka esiintyvät kehittäjinä ja rekrytoijina ja väittävät toimivansa Odessasta, Ukrainasta, käsin. He käyttävät myös haitallisia GitHub-arkistoja, jotka on suunniteltu levittämään haittaohjelmia, kuten BeaverTailia. Useissa tapauksissa työnhakijoiden kerrotaan suorittaneen haitallista koodia yritysten myöntämillä laitteilla, mikä laajensi tietomurtoa yksilöiden ulkopuolelle ja suoraan yritysympäristöihin.
Haittaohjelmien arsenaali ja komentoinfrastruktuuri
PurpleBravo käyttää erillisiä komento- ja hallintajärjestelmiä tukeakseen useita haittaohjelmaperheitä. Näihin kuuluvat BeaverTail, JavaScript-pohjainen tiedonvaras ja latausohjelma, sekä GolangGhost (tunnetaan myös nimillä FlexibleFerret tai WeaselStore), Go-pohjainen takaovi, joka on johdettu avoimen lähdekoodin HackBrowserData-projektista.
Konsernin C2-palvelimet on jaettu 17 hosting-palveluntarjoajan kesken, ja niitä hallinnoidaan Astrill VPN:n kautta. Hallintatoiminta on jäljitetty Kiinan IP-alueille. Astrill VPN:n käyttöä on toistuvasti dokumentoitu aiemmissa Pohjois-Korean kyberoperaatioissa, mikä vahvistaa luottamusta palveluntarjoajan toimintaan.
Lähentyminen IT-työntekijöiden “palkkamyyrän” uhan kanssa
Tarttuvan haastattelun arvioidaan täydentävän erillistä mutta siihen liittyvää Wagemole-kampanjaa (PurpleDelta). Operaatiossa pohjoiskorealaiset IT-alan työntekijät hankkivat luvattomia työpaikkoja varastettujen tai tekaistujen henkilöllisyyksien avulla ensisijaisesti tulojen hankkimiseksi ja vakoilun harjoittamiseksi. Vaikka Wagemole on ollut aktiivinen vuodesta 2017 lähtien ja sitä seurataan erillisenä ryppäänä, tutkijat ovat paljastaneet merkittäviä taktisia ja infrastruktuuriin liittyviä päällekkäisyyksiä.
Havaittuihin yhteyksiin kuuluvat PurpleBravo-operaattorit, jotka käyttäytyvät pohjoiskorealaisten IT-työntekijöiden tavoin, venäläiset IP-osoitteet, jotka on yhdistetty tunnettujen IT-työntekijöiden toimintaan PurpleBravo-infrastruktuurin kanssa, sekä jaetut Astrill VPN -solmut, jotka liittyvät molempiin klustereihin.
Toimitusketjun ja yrityksen riskien eskaloituminen
Erityisen huolestuttava trendi on tekaistujen työtarjousten käyttö houkutellakseen hakijoita suorittamaan koodausarviointeja työnantajan omistamissa järjestelmissä, mikä tehokkaasti muuttaa rekrytointihuijauksen yrityksen sisäiseksi tunkeutumisvektoriksi. Tämä osoittaa, että ohjelmisto- ja IT-toimitusketju on erittäin altis soluttautumiselle, jopa laajalti julkistettujen IT-työntekijöiden työllisyysohjelmien ulkopuolella.
Monet kohteena olevista organisaatioista mainostavat suuria asiakaskuntia, mikä lisää toimitusketjun loppupään tietomurtojen mahdollisuutta. Tietoturvatutkijat varoittavat, että vaikka Pohjois-Korean IT-työntekijöihin kohdistuva uhka on saanut laajaa huomiota, PurpleBravo-toimitusketjun tunkeutumismalli ansaitsee yhtäläisen prioriteetin. Organisaatioita kehotetaan vahvistamaan rekrytointiprosesseja, kehittäjäympäristön hallintaa ja kolmansien osapuolten riskienhallintaa, jotta arkaluonteisten tietojen altistuminen Pohjois-Korean uhkatoimijoille voidaan havaita, häiritä ja estää.
