„PurpleBravo“ atakos kampanija
Grėsmių žvalgybos analitikai nustatė 3136 individualius IP adresus, susietus su tikėtinais „Contagious Interview“ kampanijos taikiniais. Manoma, kad operacijoje dalyvauja 20 potencialių aukų organizacijų, veikiančių dirbtinio intelekto, kriptovaliutų, finansinių paslaugų, IT paslaugų, rinkodaros ir programinės įrangos kūrimo srityse. Paveikti subjektai apima Europą, Pietų Aziją, Artimuosius Rytus ir Centrinę Ameriką, o tai pabrėžia pasaulinį veiklos mastą.
Apskaičiuota, kad IP adresai, daugiausia Pietų Azijoje ir Šiaurės Amerikoje, buvo atakuojami nuo 2024 m. rugpjūčio iki 2025 m. rugsėjo mėn. Pranešama, kad paveiktos įmonės yra įsikūrusios Belgijoje, Bulgarijoje, Kosta Rikoje, Indijoje, Italijoje, Nyderlanduose, Pakistane, Rumunijoje, Jungtiniuose Arabų Emyratuose ir Vietname.
Turinys
„PurpleBravo“: produktyvus Šiaurės Korėjos grėsmių klasteris
Ši veikla priskiriama su Šiaurės Korėja susijusiam grupuotei, vadinamai „PurpleBravo“, pirmą kartą užfiksuotai 2023 m. pabaigoje. Ši grupuotė saugumo bendruomenėje žinoma įvairiais pavadinimais, o tai rodo platų pramonės stebėjimą:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi ir WaterPlum
„PurpleBravo“ pademonstravo nuolatines investicijas į ilgalaikę infrastruktūrą, socialinės inžinerijos prekybą ir kenkėjiškų programų kūrimą, siekdama tikslų, apimančių kibernetinį šnipinėjimą ir finansines vagystes.
Įdarbinimo proceso ir kūrėjų ekosistemos išnaudojimas
Naujausi duomenys gauti po to, kai buvo atskleista svarbi „Contagious Interview“ kampanijos evoliucija, kai priešininkai paverčia kenkėjiškus „Microsoft Visual Studio“ kodo projektus ginklu, kad platintų užpakalines duris. Ši taktika piktnaudžiauja patikimais kūrėjų įrankiais ir darbo eigomis, padidindama sėkmingo įsilaužimo tikimybę.
Tyrėjai nustatė nesąžiningus „LinkedIn“ asmenis, apsimetusius kūrėjais ir įdarbintojais, kurie teigė veikiantys iš Odesos, Ukrainos, kartu su kenkėjiškomis „GitHub“ saugyklomis, skirtomis platinti kenkėjiškas programas, tokias kaip „BeaverTail“. Pranešama, kad keliuose incidentuose darbo ieškantys kandidatai vykdė kenkėjišką kodą įmonių išduotuose įrenginiuose, taip perkeldami ataką ne tik į asmenis, bet ir tiesiai į įmonių aplinką.
Kenkėjiškų programų arsenalas ir komandinė infrastruktūra
„PurpleBravo“ valdo atskiras komandų ir valdymo infrastruktūras, skirtas palaikyti kelias kenkėjiškų programų šeimas. Tai apima „BeaverTail“ – „JavaScript“ pagrindu veikiančią informacijos vagystę ir įkėlimo programą, ir „GolangGhost“ (taip pat žinomą kaip „FlexibleFerret“ arba „WeaselStore“) – „Go“ pagrindu veikiančią galinių durų programą, sukurtą iš atvirojo kodo „HackBrowserData“ projekto.
Grupės C2 serveriai yra paskirstyti per 17 prieglobos paslaugų teikėjų ir yra administruojami per „Astrill VPN“, o valdymo veikla atsekama iki IP adresų diapazonų Kinijoje. „Astrill VPN“ naudojimas buvo ne kartą dokumentuotas ankstesnėse kibernetinėse operacijose Šiaurės Korėjoje, o tai sustiprina priskyrimo patikimumą.
Konvergencija su „Wagemole“ IT darbuotojų grėsme
Vertinama, kad „Contagious Interview“ papildo atskirą, bet susijusią kampaniją, vadinamą „Wagemole“ („PurpleDelta“). Šioje operacijoje Šiaurės Korėjos IT darbuotojai įsidarbina neteisėtai, naudodamiesi pavogtomis arba suklastotomis tapatybėmis, daugiausia siekdami gauti pajamų ir vykdyti šnipinėjimą. Nors „Wagemole“ veikia nuo 2017 m. ir yra stebima kaip atskiras klasteris, tyrėjai atskleidė pastebimų taktinių ir infrastruktūros dubliavimų.
Stebimos sąsajos apima „PurpleBravo“ operatorius, kurių elgesys atitinka Šiaurės Korėjos IT darbuotojų elgesį, Rusijos IP adresus, susietus su žinoma IT darbuotojų veikla, bendraujančia su „PurpleBravo“ infrastruktūra, ir bendrus „Astrill“ VPN mazgus, susietus su abiem klasteriais.
Didėjanti tiekimo grandinės ir įmonės rizika
Ypač nerimą kelianti tendencija yra fiktyvių darbo pasiūlymų naudojimas siekiant privilioti kandidatus atlikti programavimo vertinimus darbdavio valdomose sistemose, taip efektyviai paverčiant įdarbinimo sukčiavimą įmonės įsilaužimo vektoriumi. Tai rodo, kad programinės įrangos ir IT tiekimo grandinė yra labai jautri infiltracijai, net ir už gerai žinomų IT darbuotojų įdarbinimo schemų ribų.
Daugelis organizacijų, į kurias nukreiptos atakos, reklamuoja dideles klientų bazes, taip padidindamos galimą tiekimo grandinės pažeidimą. Saugumo tyrėjai perspėja, kad nors Šiaurės Korėjos IT darbuotojų grėsmė sulaukė didelio dėmesio, „PurpleBravo“ tiekimo grandinės infiltracijos modelis nusipelno tokio pat prioriteto. Organizacijos raginamos stiprinti įdarbinimo procesus, kūrėjų aplinkos kontrolę ir trečiųjų šalių rizikos valdymą, kad būtų galima aptikti, sutrikdyti ir užkirsti kelią jautrių duomenų atskleidimui Šiaurės Korėjos grėsmių subjektams.
