Kampanja napada PurpleBravo
Analitičari obavještajnih podataka o prijetnjama identificirali su 3136 pojedinačnih IP adresa povezanih s vjerojatnim metama kampanje Contagious Interview. Vjeruje se da je u operaciji sudjelovalo 20 potencijalnih organizacija žrtava koje djeluju u području umjetne inteligencije, kriptovaluta, financijskih usluga, IT usluga, marketinga i razvoja softvera. Pogođeni subjekti protežu se iz Europe, Južne Azije, Bliskog istoka i Srednje Amerike, što naglašava globalni opseg aktivnosti.
Procjenjuje se da su IP adrese, uglavnom koncentrirane u Južnoj Aziji i Sjevernoj Americi, bile meta napada između kolovoza 2024. i rujna 2025. Pogođene tvrtke navodno imaju sjedište u Belgiji, Bugarskoj, Kostariki, Indiji, Italiji, Nizozemskoj, Pakistanu, Rumunjskoj, Ujedinjenim Arapskim Emiratima i Vijetnamu.
Sadržaj
PurpleBravo: Plodan sjevernokorejski klaster prijetnji
Aktivnost se pripisuje klasteru povezanom sa Sjevernom Korejom, praćenom kao PurpleBravo, prvi put dokumentiranom krajem 2023. godine. Ova je grupa poznata u sigurnosnoj zajednici pod više naziva, što odražava široko praćenje u industriji:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi i WaterPlum
PurpleBravo je pokazao održiva ulaganja u dugoročnu infrastrukturu, zanatske radove u području socijalnog inženjeringa i razvoj zlonamjernog softvera, što je u skladu s ciljevima koji kombiniraju kibernetičku špijunažu i financijsku krađu.
Iskorištavanje procesa zapošljavanja i ekosustava programera
Nedavna otkrića uslijedila su nakon otkrivanja velike evolucije kampanje Contagious Interview, u kojoj protivnici koriste zlonamjerne projekte Microsoft Visual Studio Code kao oružje za distribuciju stražnjih vrata. Ova taktika zloupotrebljava pouzdane alate i tijekove rada za razvojne programere, povećavajući vjerojatnost uspješne kompromitacije.
Istraživači su identificirali lažne LinkedIn profile koji se predstavljaju kao programeri i regruteri, tvrdeći da djeluju iz Odese u Ukrajini, uz zlonamjerne GitHub repozitorije dizajnirane za distribuciju zlonamjernog softvera poput BeaverTaila. U nekoliko incidenata, kandidati koji su tražili posao navodno su izvršavali zlonamjerni kod na uređajima koje su izdale tvrtke, proširujući kompromitiranje izvan pojedinaca i izravno u poslovna okruženja.
Arsenal zlonamjernog softvera i infrastruktura zapovijedanja
PurpleBravo upravlja odvojenim infrastrukturama za upravljanje i kontrolu kako bi podržao više obitelji zlonamjernog softvera. To uključuje BeaverTail, program za krađu i učitavanje informacija temeljen na JavaScriptu, te GolangGhost (također praćen kao FlexibleFerret ili WeaselStore), backdoor temeljen na Gou izveden iz projekta otvorenog koda HackBrowserData.
C2 serveri grupe raspoređeni su na 17 pružatelja hostinga i administriraju se putem Astrill VPN-a, a upravljačke aktivnosti prate se do IP raspona u Kini. Korištenje Astrill VPN-a više je puta dokumentirano u prethodnim sjevernokorejskim kibernetičkim operacijama, što jača povjerenje u atribuciju.
Konvergencija s prijetnjom IT radnika 'Wagemole'
Procjenjuje se da Contagious Interview nadopunjuje zasebnu, ali povezanu kampanju poznatu kao Wagemole (PurpleDelta). Ta operacija uključuje sjevernokorejske IT radnike koji osiguravaju neovlašteno zapošljavanje pod ukradenim ili izmišljenim identitetima, prvenstveno radi ostvarivanja prihoda i provođenja špijunaže. Iako je Wagemole aktivan od 2017. i prati se kao zaseban klaster, istražitelji su otkrili značajna taktička i infrastrukturna preklapanja.
Uočene veze uključuju PurpleBravo operatere koji pokazuju ponašanje u skladu sa sjevernokorejskim IT radnicima, ruske IP adrese povezane s poznatom aktivnošću IT radnika koji komuniciraju s PurpleBravo infrastrukturom i dijeljene Astrill VPN čvorove povezane s oba klastera.
Rastući rizik opskrbnog lanca i poduzeća
Posebno zabrinjavajući trend je korištenje fiktivnih ponuda za posao kako bi se kandidati namamili na dovršavanje procjena kodiranja na sustavima u vlasništvu poslodavca, čime se prijevara pri zapošljavanju učinkovito pretvara u vektor upada u poduzeće. To pokazuje da je softverski i IT opskrbni lanac vrlo osjetljiv na infiltraciju, čak i izvan dobro reklamiranih programa zapošljavanja IT radnika.
Mnoge ciljane organizacije oglašavaju velike baze klijenata, što pojačava potencijal za kompromitiranje nizvodnog lanca opskrbe. Istraživači sigurnosti upozoravaju da, iako je prijetnja sjevernokorejskih IT radnika dobila široku pozornost, model infiltracije lanca opskrbe PurpleBravo zaslužuje jednak prioritet. Organizacije se potiču da ojačaju procese zapošljavanja, kontrole razvojnog okruženja i upravljanje rizicima trećih strana kako bi otkrile, poremetile i spriječile izloženost osjetljivih podataka sjevernokorejskim akterima prijetnji.
