PurpleBravo támadási kampány
A fenyegetésfelderítő elemzők 3136 egyedi IP-címet azonosítottak, amelyek a Contagious Interview kampány valószínűsíthető célpontjaihoz kapcsolódnak. A műveletben feltehetően 20 potenciális áldozatot jelentő szervezet vesz részt, amelyek a mesterséges intelligencia, a kriptovaluták, a pénzügyi szolgáltatások, az IT-szolgáltatások, a marketing és a szoftverfejlesztés területén működnek. Az érintett szervezetek Európa, Dél-Ázsia, a Közel-Kelet és Közép-Amerika területét ölelik fel, ami kiemeli a tevékenység globális mértékét.
A nagyrészt Dél-Ázsiában és Észak-Amerikában koncentrálódó IP-címeket a becslések szerint 2024 augusztusa és 2025 szeptembere között célozták meg. Az érintett vállalatok állítólag Belgiumban, Bulgáriában, Costa Ricában, Indiában, Olaszországban, Hollandiában, Pakisztánban, Romániában, az Egyesült Arab Emírségekben és Vietnámban találhatók.
Tartalomjegyzék
PurpleBravo: Egy termékeny észak-koreai fenyegetéscsoport
A tevékenységet egy Észak-Koreához köthető, PurpleBravo néven nyomon követett csoporthoz kötik, amelyet először 2023 végén dokumentáltak. Ez a csoport a biztonsági közösségben több megnevezéssel is ismert, ami széles körű iparági nyomon követést tükröz:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi és WaterPlum
A PurpleBravo tartós befektetéseket mutatott a hosszú távú infrastruktúrába, a pszichológiai manipulációval kapcsolatos kereskedelmi eljárásokba és a rosszindulatú programok fejlesztésébe, összhangban a kiberkémkedést és a pénzügyi lopást ötvöző célokkal.
A felvételi folyamat és a fejlesztői ökoszisztéma kiaknázása
A legújabb eredmények a Contagious Interview kampány jelentős fejleményeinek nyilvánosságra hozatalát követik, amelyben az ellenfelek rosszindulatú Microsoft Visual Studio kódprojekteket használnak fegyverként hátsó ajtók terjesztésére. Ez a taktika visszaél a megbízható fejlesztői eszközökkel és munkafolyamatokkal, növelve a sikeres behatolás valószínűségét.
A kutatók csaló LinkedIn-személyeket azonosítottak, akik fejlesztőknek és toborzóknak adták ki magukat, és azt állították, hogy az ukrajnai Odesszából dolgoznak, valamint rosszindulatú GitHub-adattárakat használnak, amelyeket olyan rosszindulatú programok terjesztésére terveztek, mint a BeaverTail. Több esetben is előfordult, hogy álláskereső jelöltek rosszindulatú kódot futtattak vállalati eszközökön, kiterjesztve a behatolást az egyéneken túlra, közvetlenül a vállalati környezetekre.
Kártevő Arzenál és Parancsnoki Infrastruktúra
A PurpleBravo különálló parancs- és vezérlő infrastruktúrákat üzemeltet több kártevőcsalád támogatására. Ezek közé tartozik a BeaverTail, egy JavaScript-alapú információlopó és betöltő, valamint a GolangGhost (más néven FlexibleFerret vagy WeaselStore), egy Go-alapú hátsó ajtó, amely a nyílt forráskódú HackBrowserData projektből származik.
A csoport C2 szerverei 17 tárhelyszolgáltató között vannak elosztva, és az Astrill VPN-en keresztül felügyelik őket, a kezelési tevékenységet kínai IP-címtartományokra követve nyomon. Az Astrill VPN használatát korábbi észak-koreai kibertámadások során többször is dokumentálták, ami megerősíti a feltételezett azonosítást.
Konvergencia a „bérvakond” informatikai dolgozói fenyegetéssel
A Contagious Interview (Fertőző Interjú) egy különálló, de kapcsolódó kampány, a Wagemole (PurpleDelta) kiegészítőjeként értelmezhető. A művelet során észak-koreai informatikai dolgozók lopott vagy kitalált személyazonossággal szereznek jogosulatlan munkát, elsősorban bevételszerzés és kémkedés céljából. Bár a Wagemole 2017 óta aktív, és különálló klaszterként követik nyomon, a nyomozók jelentős taktikai és infrastrukturális átfedéseket tártak fel.
A megfigyelt kapcsolatok között szerepelnek az észak-koreai informatikai dolgozókra jellemző viselkedést mutató PurpleBravo operátorok, az ismert informatikai dolgozók PurpleBravo infrastruktúrával való kommunikációját végző tevékenységhez kapcsolódó orosz IP-címek, valamint a mindkét klaszterhez kapcsolódó megosztott Astrill VPN csomópontok.
Az ellátási lánc és a vállalati kockázatok fokozódása
Különösen aggasztó tendencia, hogy fiktív állásajánlatokkal próbálják rávenni a jelölteket, hogy a munkáltató tulajdonában lévő rendszereken végezzenek kódolási felméréseket, amivel a toborzási csalásokat hatékonyan vállalati behatolási vektorrá alakítják. Ez azt mutatja, hogy a szoftver- és informatikai ellátási lánc rendkívül sebezhető a beszivárgással szemben, még a jól ismert informatikai munkavállalói foglalkoztatási programokon kívül is.
A célzott szervezetek közül sok nagy ügyfélkörrel rendelkezik, ami felerősíti az ellátási lánc kompromittálódásának lehetőségét. Biztonsági kutatók arra figyelmeztetnek, hogy míg az észak-koreai informatikai dolgozókat fenyegető fenyegetés széles körű figyelmet kapott, a PurpleBravo ellátási lánc beszivárgási modellje ugyanolyan prioritást érdemel. A szervezeteket arra ösztönzik, hogy erősítsék meg a felvételi folyamatokat, a fejlesztői környezet ellenőrzését és a harmadik fél általi kockázatkezelést, hogy felderítsék, megzavarják és megakadályozzák az érzékeny adatok észak-koreai fenyegető szereplők általi kitettségét.
