PurpleBravo uzbrukuma kampaņa
Draudu izlūkošanas analītiķi ir identificējuši 3136 individuālas IP adreses, kas saistītas ar iespējamiem kampaņas “Contagious Interview” mērķiem. Tiek uzskatīts, ka operācijā ir iesaistītas 20 potenciālo upuru organizācijas, kas darbojas mākslīgā intelekta, kriptovalūtu, finanšu pakalpojumu, IT pakalpojumu, mārketinga un programmatūras izstrādes jomās. Skartās struktūras aptver Eiropu, Dienvidāziju, Tuvos Austrumus un Centrālameriku, uzsverot aktivitātes globālo mērogu.
Tiek lēsts, ka IP adreses, kas galvenokārt koncentrētas Dienvidāzijā un Ziemeļamerikā, tika uzskatītas par uzbrukuma mērķi laikposmā no 2024. gada augusta līdz 2025. gada septembrim. Ziņots, ka skartie uzņēmumi atrodas Beļģijā, Bulgārijā, Kostarikā, Indijā, Itālijā, Nīderlandē, Pakistānā, Rumānijā, Apvienotajos Arābu Emirātos un Vjetnamā.
Satura rādītājs
PurpleBravo: ražīgs Ziemeļkorejas draudu klasteris
Aktivitāte tiek attiecināta uz ar Ziemeļkoreju saistītu klasteri, kas izsekots kā PurpleBravo un pirmo reizi dokumentēts 2023. gada beigās. Šī grupa drošības aprindās ir pazīstama ar vairākiem apzīmējumiem, kas atspoguļo plašu nozares izsekošanu:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi un WaterPlum
PurpleBravo ir demonstrējis ilgstošas investīcijas ilgtermiņa infrastruktūrā, sociālās inženierijas tehnoloģijās un ļaunprogrammatūras izstrādē, kas atbilst mērķiem, kas apvieno kiberspiegošanu un finanšu zādzības.
Pieņemšanas darbā procesa un izstrādātāju ekosistēmas izmantošana
Jaunākie atklājumi seko tam, kad tika atklāta būtiska evolūcija kampaņā “Contagious Interview”, kurā pretinieki izmanto ļaunprātīgus Microsoft Visual Studio koda projektus kā ieroci, lai izplatītu aizmugures durvis. Šī taktika ļaunprātīgi izmanto uzticamus izstrādātāju rīkus un darbplūsmas, palielinot veiksmīgas kompromitēšanas iespējamību.
Pētnieki ir identificējuši krāpnieciskas LinkedIn personas, kas uzdodas par izstrādātājiem un vervētājiem, apgalvojot, ka darbojas no Odesas, Ukrainā, kā arī ļaunprātīgas GitHub krātuves, kas paredzētas tādas ļaunprogrammatūras kā BeaverTail izplatīšanai. Vairākos gadījumos darba meklētāji, kā ziņots, izpildīja ļaunprātīgu kodu korporatīvo ierīču ierīcēs, paplašinot kompromitāciju ārpus privātpersonām un tieši uzņēmumu vidē.
Ļaunprogrammatūras arsenāls un komandu infrastruktūra
PurpleBravo pārvalda atsevišķas komandu un kontroles infrastruktūras, lai atbalstītu vairākas ļaunprogrammatūru saimes. To skaitā ir BeaverTail — uz JavaScript balstīts informācijas zaglis un ielādētājs, un GolangGhost (pazīstams arī kā FlexibleFerret vai WeaselStore) — uz Go balstīta aizmugurējā durvju sistēma, kas atvasināta no atvērtā pirmkoda HackBrowserData projekta.
Grupas C2 serveri ir sadalīti starp 17 mitināšanas pakalpojumu sniedzējiem un tiek administrēti, izmantojot Astrill VPN, un pārvaldības darbība tiek izsekota līdz IP adrešu diapazoniem Ķīnā. Astrill VPN izmantošana ir atkārtoti dokumentēta iepriekšējās Ziemeļkorejas kiberoperācijās, kas pastiprina attiecināšanas pārliecību.
Konverģence ar IT darbinieku draudiem “Wagemole”
Tiek lēsts, ka “Contagious Interview” papildina atsevišķu, bet saistītu kampaņu, kas pazīstama kā “Wagemole” (PurpleDelta). Šajā operācijā Ziemeļkorejas IT darbinieki iegūst neatļautu darbu, izmantojot zagtas vai safabricētas identitātes, galvenokārt, lai gūtu ieņēmumus un veiktu spiegošanu. Lai gan “Wagemole” darbojas kopš 2017. gada un tiek izsekota kā atsevišķs klasteris, izmeklētāji ir atklājuši ievērojamas taktiskās un infrastruktūras pārklāšanās.
Novērotās saites ietver PurpleBravo operatorus, kuru uzvedība atbilst Ziemeļkorejas IT darbiniekiem, Krievijas IP adreses, kas saistītas ar zināmu IT darbinieku aktivitāti, sazinoties ar PurpleBravo infrastruktūru, un koplietotus Astrill VPN mezglus, kas saistīti ar abiem klasteriem.
Piegādes ķēdes un uzņēmuma riska pieaugums
Īpaši satraucoša tendence ir fiktīvu darba piedāvājumu izmantošana, lai pievilinātu kandidātus veikt kodēšanas novērtējumus darba devēju sistēmās, faktiski pārvēršot darbā pieņemšanas krāpniecību par ielaušanās vektoru uzņēmumā. Tas parāda, ka programmatūras un IT piegādes ķēde ir ļoti neaizsargāta pret iefiltrēšanos pat ārpus plaši reklamētajām IT darbinieku nodarbinātības shēmām.
Daudzas no organizācijām, pret kurām vērsti uzbrukumi, reklamē lielas klientu bāzes, tādējādi palielinot iespējamo piegādes ķēdes apdraudējumu. Drošības pētnieki brīdina, ka, lai gan Ziemeļkorejas IT darbinieku apdraudējums ir saņēmis plašu uzmanību, PurpleBravo piegādes ķēdes iefiltrēšanās modelis ir tikpat pelnījis prioritāti. Organizācijas tiek aicinātas stiprināt darbā pieņemšanas procesus, izstrādātāju vides kontroli un trešo pušu risku pārvaldību, lai atklātu, pārtrauktu un novērstu sensitīvu datu nonākšanu Ziemeļkorejas apdraudējumu dalībnieku rokās.
