קמפיין ההתקפה PurpleBravo

אנליסטים של מודיעין איומים זיהו 3,136 כתובות IP בודדות המקושרות למטרות אפשריות של קמפיין Contagious Interview. ההערכה היא שהמבצע כולל 20 ארגוני קורבנות פוטנציאליים הפועלים בתחומי בינה מלאכותית, מטבעות קריפטוגרפיים, שירותים פיננסיים, שירותי IT, שיווק ופיתוח תוכנה. הגופים שנפגעו משתרעים על פני אירופה, דרום אסיה, המזרח התיכון ומרכז אמריקה, דבר המדגיש את היקף הפעילות הגלובלי.

כתובות ה-IP, המרוכזות בעיקר בדרום אסיה וצפון אמריקה, הותקפו ככל הנראה בין אוגוסט 2024 לספטמבר 2025. על פי הדיווחים, החברות שנפגעו ממוקמות בבלגיה, בולגריה, קוסטה ריקה, הודו, איטליה, הולנד, פקיסטן, רומניה, איחוד האמירויות הערביות ווייטנאם.

PurpleBravo: אשכול איומים פורה של צפון קוריאה

הפעילות מיוחסת לאשכול הקשור לצפון קוריאה, אשר עוקב אחר PurpleBravo, ותועד לראשונה בסוף 2023. קבוצה זו מוכרת בקהילת האבטחה תחת מספר כינויים, המשקפים מעקב רחב אחר התעשייה:

CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi ו-WaterPlum

PurpleBravo הוכיחה השקעה מתמשכת בתשתיות ארוכות טווח, מסחר בהנדסה חברתית ופיתוח תוכנות זדוניות, תוך התאמה למטרות המשלבות ריגול סייבר וגניבה פיננסית.

ניצול תהליך הגיוס והאקוסיסטם של המפתחים

ממצאים אחרונים מגיעים בעקבות חשיפת התפתחות משמעותית בקמפיין Contagious Interview, שבו יריבים משתמשים בפרויקטים זדוניים של Microsoft Visual Studio Code כדי להפיץ דלתות אחוריות. טקטיקה זו מנצלת לרעה כלי פיתוח ותהליכי עבודה מהימנים, ומגדילה את הסבירות לפריצה מוצלחת.

חוקרים זיהו פרסונות הונאה בלינקדאין שמתחזים למפתחים ומגייסים, וטענו שהם פועלים מאודסה, אוקראינה, לצד מאגרי GitHub זדוניים שנועדו להפיץ תוכנות זדוניות כמו BeaverTail. במספר מקרים, דווח כי מועמדים שחיפשו עבודה ביצעו קוד זדוני על מכשירים שהונפקו על ידי חברות, מה שהרחיב את הפגיעה מעבר לאנשים פרטיים ישירות לסביבות ארגוניות.

ארסנל תוכנות זדוניות ותשתית פיקוד

PurpleBravo מפעילה תשתיות שליטה ובקרה נפרדות כדי לתמוך במשפחות מרובות של תוכנות זדוניות. אלה כוללות את BeaverTail, תוכנת טוען וגנבת מידע מבוססת JavaScript, ואת GolangGhost (הנקראת גם FlexibleFerret או WeaselStore), דלת אחורית מבוססת Go שמקורה בפרויקט HackBrowserData בקוד פתוח.

שרתי ה-C2 של הקבוצה מפוזרים על פני 17 ספקי אירוח ומנוהלים באמצעות Astrill VPN, כאשר פעילות הניהול מיוחסת לטווחי IP בסין. השימוש ב-Astrill VPN תועד שוב ושוב במבצעי סייבר קודמים בצפון קוריאה, מה שמחזק את ביטחון הייחוס.

התכנסות עם איום “Wagemole” של עובדי IT

ההערכה היא ש"ראיון מדבק" משלים קמפיין נפרד אך קשור המכונה Wagemole (PurpleDelta). מבצע זה כולל עובדי IT צפון קוריאנים המקבלים תעסוקה לא מורשית תחת זהויות גנובות או מפוברקות, בעיקר כדי לייצר הכנסות ולבצע ריגול. למרות ש-Wagemole פעיל מאז 2017 ועוקב אחר כאשכול נפרד, חוקרים חשפו חפיפות טקטיות ותשתיות בולטות.

הקישורים שנצפו כוללים מפעילי PurpleBravo המציגים התנהגות התואמת לעובדי IT צפון קוריאנים, כתובות IP רוסיות הקשורות לפעילות ידועה של עובדי IT המתקשרים עם תשתית PurpleBravo, וצמתי VPN משותפים של Astrill המשויכים לשני האשכולות.

הסלמה של סיכוני שרשרת אספקה וארגון

מגמה מדאיגה במיוחד היא השימוש בהצעות עבודה פיקטיביות כדי לפתות מועמדים להשלים הערכות קידוד במערכות בבעלות המעסיקים, ובכך להפוך למעשה הונאת גיוס לווקטור חדירה לארגון. עובדה זו מדגימה ששרשרת האספקה של תוכנה ו-IT פגיעה מאוד לחדירה, גם מחוץ לתוכניות העסקת עובדי IT המתוקשרות.

רבים מהארגונים המכוונים מפרסמים בסיסי לקוחות גדולים, מה שמגביר את הפוטנציאל לפגיעה בשרשרת האספקה במורד הזרם. חוקרי אבטחה מזהירים כי בעוד שאיום עובדי ה-IT של צפון קוריאה זכה לתשומת לב רחבה, מודל הסתננות שרשרת האספקה של PurpleBravo ראוי לעדיפות שווה. ארגונים מתבקשים לחזק את תהליכי הגיוס, בקרות סביבת המפתחים וניהול סיכונים של צד שלישי כדי לזהות, לשבש ולמנוע חשיפה של נתונים רגישים לגורמי איום צפון קוריאניים.