다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 PurpleBravo Attack Campaign

PurpleBravo Attack Campaign

멀웨어, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

위협 정보 분석가들은 '전염성 인터뷰(Contagious Interview)' 캠페인의 잠재적 표적과 관련된 3,136개의 IP 주소를 확인했습니다. 이 작전은 인공지능, 암호화폐, 금융 서비스, IT 서비스, 마케팅 및 소프트웨어 개발 분야에서 활동하는 20개 기업을 대상으로 한 것으로 추정됩니다. 피해 기업은 유럽, 남아시아, 중동 및 중미에 걸쳐 있으며, 이는 이번 공격의 글로벌 규모를 보여줍니다.

주로 남아시아와 북미 지역에 집중된 해당 IP 주소들은 2024년 8월부터 2025년 9월 사이에 공격 대상이 된 것으로 추정됩니다. 피해를 입은 기업들은 벨기에, 불가리아, 코스타리카, 인도, 이탈리아, 네덜란드, 파키스탄, 루마니아, 아랍에미리트, 베트남에 기반을 두고 있는 것으로 알려졌습니다.

퍼플브라보: 북한의 주요 위협 집단

이 활동은 2023년 말에 처음 기록된 북한 연계 단체인 PurpleBravo에 기인한 것으로 추정됩니다. 이 단체는 보안 업계에서 다양한 명칭으로 알려져 있으며, 이는 업계 전반에 걸친 광범위한 추적을 반영합니다.

CL-STA-0240, 디셉티브개발, DEV#POPPER, 유명한 천리마, 귀신강, 끈기있는 풍산, UNC5342, 공허도깨비, 워터플럼

PurpleBravo는 사이버 스파이 활동과 금융 절도를 결합한 목표에 맞춰 장기적인 인프라 구축, 사회 공학적 기법, 악성 소프트웨어 개발에 지속적으로 투자해 왔습니다.

채용 프로세스 및 개발자 생태계 활용

최근 조사 결과는 악성 마이크로소프트 비주얼 스튜디오 코드 프로젝트를 악용하여 백도어를 배포하는 '전염성 인터뷰(Contagious Interview)' 캠페인의 주요 진화 양상이 드러난 데 따른 것입니다. 이러한 전술은 개발자들이 신뢰하는 도구와 워크플로를 악용하여 침해 성공 가능성을 높입니다.

연구원들은 우크라이나 오데사에서 활동하는 것처럼 위장한 개발자 및 채용 담당자를 사칭하는 가짜 링크드인 계정과, BeaverTail과 같은 악성 소프트웨어를 배포하도록 설계된 악성 GitHub 저장소를 발견했습니다. 여러 건의 사례에서 구직자들이 회사에서 지급한 기기에서 악성 코드를 실행한 것으로 보고되었으며, 이는 개인을 넘어 기업 환경 전체에 위협이 될 수 있습니다.

악성코드 저장고 및 명령 체계

PurpleBravo는 여러 악성코드 계열을 지원하기 위해 별도의 명령 및 제어 인프라를 운영합니다. 여기에는 JavaScript 기반 정보 탈취 및 로더인 BeaverTail과 오픈 소스 HackBrowserData 프로젝트에서 파생된 Go 기반 백도어인 GolangGhost(FlexibleFerret 또는 WeaselStore로도 추적됨)가 포함됩니다.

해당 그룹의 C2 서버는 17개의 호스팅 업체에 분산되어 있으며 Astrill VPN을 통해 관리되고 있습니다. 관리 활동은 중국의 IP 대역에서 추적되었습니다. Astrill VPN 사용은 이전 북한의 사이버 공격에서도 여러 차례 확인된 바 있어, 이번 공격의 배후를 특정하는 데 확신을 더해줍니다.

'급여 도둑' IT 직원 위협과의 융합

'전염성 인터뷰'는 '웨이지몰(Wagemole, PurpleDelta)'이라는 별개의 관련 캠페인을 보완하는 것으로 평가됩니다. 웨이지몰 작전은 북한 IT 노동자들이 도난당하거나 위조된 신분으로 불법 취업하여 주로 수익을 창출하고 간첩 행위를 하는 것을 목표로 합니다. 웨이지몰은 2017년부터 활동해 왔으며 별개의 범죄 집단으로 추적되고 있지만, 조사 결과 전술 및 기반 시설 측면에서 상당한 중복이 발견되었습니다.

관찰된 연관성에는 북한 IT 종사자들의 행동과 일치하는 행태를 보이는 PurpleBravo 운영자, PurpleBravo 인프라와 통신하는 것으로 알려진 IT 종사자 활동과 연관된 러시아 IP 주소, 그리고 두 클러스터 모두와 연결된 공유 Astrill VPN 노드가 포함됩니다.

공급망 및 기업 위험의 증가

특히 우려스러운 추세는 허위 채용 공고를 이용하여 구직자를 유인해 기업 소유 시스템에서 코딩 평가를 완료하도록 유도하는 것입니다. 이는 채용 사기를 기업 시스템 침입 경로로 변질시키는 행위입니다. 이러한 사례는 널리 알려진 IT 인력 채용 사기 외에도 소프트웨어 및 IT 공급망이 침투에 매우 취약하다는 것을 보여줍니다.

표적이 된 많은 조직들은 대규모 고객 기반을 자랑하며, 이는 하위 공급망 침해 가능성을 증폭시킵니다. 보안 연구원들은 북한 IT 인력 위협이 널리 주목받고 있지만, '퍼플브라보' 모델을 이용한 공급망 침투 역시 그에 못지않게 중요하게 다뤄야 한다고 경고합니다. 조직들은 북한 공격자들에게 민감한 데이터가 노출되는 것을 탐지, 차단, 예방하기 위해 채용 절차, 개발자 환경 관리, 제3자 위험 관리 등을 강화해야 합니다.

트렌드

Search.quicksearchsafe.com

불량 웹사이트, 브라우저 하이재커, 잠재적으로 원하지 않는 프로그램
침입적이고 신뢰할 수 없는 PUP(잠재적으로 원치 않는 프로그램)로부터 기기를 보호하는 것은 보안, 개인 정보 보호 및 시스템 안정성을 유지하는 데 필수적입니다. 이러한 유형의 소프트웨어는 종종 유용한 도구로 위장하지만, 실제 목적은 브라우저 동작을 조작하고, 데이터를 수집하며, 사용자를 신뢰할 수 없는 온라인 콘텐츠에 노출시키는 것입니다. 이러한...

젠체인 리워드 사기

불량 웹사이트
인터넷을 검색할 때 항상 주의를 기울이는 것이 그 어느 때보다 중요해졌습니다. 사이버 범죄자들은 끊임없이 수법을 정교하게 다듬어 신뢰, 호기심, 그리고 금전적 이익을 악용하도록 설계된 매우 설득력 있는 웹사이트와 캠페인을 만들어냅니다. 특히 암호화폐 분야에서는 단 한 번의 부주의한 클릭으로 돌이킬 수 없는 손실을 입을 수 있습니다. 젠체인 리워드...

Imorportabless.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
온라인 안전은 그 어느 때보다 중요합니다. 사용자들은 매일 수많은 웹사이트, 광고, 팝업창을 접하는데, 그중 상당수는 정보를 제공하기보다는 사용자를 속이기 위해 만들어졌습니다. 특히 악성 페이지는 호기심, 조급함, 그리고 신뢰를 악용하여 교묘한 수법으로 방문자가 유해한 브라우저 기능을 활성화하도록 유도합니다. 가장 흔하게 사용되는 수법 중 하나는 가짜...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
44,651
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
34,258
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'macOS는 이 앱에 맬웨어가 없는지 확인할 수 없습니다' 수정 방법

문제
32,558
Mac 사용자는 일반적으로 알 수 없는 개발자의 응용 프로그램이나 공식 App Store에서 사용할 수 없고 타사 앱에서 제공하는 응용 프로그램을 설치하려고 할 때 'macOS에서 이 앱에 맬웨어가 없는지 확인할 수 없습니다'라는 메시지가 표시됩니다.라이선스 플랫폼. 이러한 경우 Gatekeep이라는 내장 Mac 보안 시스템은 특정...
로드 중...