PurpleBravo Attack-kampanjen
Trusselintelligensanalytikere har identifisert 3136 individuelle IP-adresser knyttet til sannsynlige mål for Contagious Interview-kampanjen. Operasjonen antas å involvere 20 potensielle offerorganisasjoner som opererer innen kunstig intelligens, kryptovaluta, finansielle tjenester, IT-tjenester, markedsføring og programvareutvikling. De berørte enhetene spenner over Europa, Sør-Asia, Midtøsten og Mellom-Amerika, noe som understreker det globale omfanget av aktiviteten.
IP-adressene, som i stor grad er konsentrert i Sør-Asia og Nord-Amerika, vurderes å ha blitt målrettet mellom august 2024 og september 2025. De berørte selskapene er angivelig basert i Belgia, Bulgaria, Costa Rica, India, Italia, Nederland, Pakistan, Romania, De forente arabiske emirater og Vietnam.
Innholdsfortegnelse
PurpleBravo: En produktiv nordkoreansk trusselklynge
Aktiviteten tilskrives en nordkoreansk-tilknyttet klynge sporet som PurpleBravo, først dokumentert sent i 2023. Denne gruppen er kjent i sikkerhetsmiljøet under flere betegnelser, noe som gjenspeiler bred bransjesporing:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi og WaterPlum
PurpleBravo har vist vedvarende investeringer i langsiktig infrastruktur, sosial manipulering og utvikling av skadelig programvare, i samsvar med mål som blander cyberspionasje og økonomisk tyveri.
Utnyttelse av ansettelsesprosessen og utviklernes økosystem
Nylige funn følger avsløringen av en større utvikling i Contagious Interview-kampanjen, der motstandere utnytter ondsinnede Microsoft Visual Studio Code-prosjekter som våpen for å distribuere bakdører. Denne taktikken misbruker pålitelige utviklerverktøy og arbeidsflyter, noe som øker sannsynligheten for vellykket kompromittering.
Forskere har identifisert falske LinkedIn-personaer som utgir seg for å være utviklere og rekrutterere, og hevder å operere fra Odessa i Ukraina, i tillegg til ondsinnede GitHub-lagre som er utformet for å distribuere skadelig programvare, som BeaverTail. I flere tilfeller skal jobbsøkende kandidater ha kjørt skadelig kode på bedriftsenheter, noe som utvidet angrepet utover enkeltpersoner og direkte til bedriftsmiljøer.
Arsenal for skadelig programvare og kommandoinfrastruktur
PurpleBravo driver separate kommando- og kontrollinfrastrukturer for å støtte flere skadevarefamilier. Disse inkluderer BeaverTail, en JavaScript-basert infostealer og -laster, og GolangGhost (også sporet som FlexibleFerret eller WeaselStore), en Go-basert bakdør avledet fra det åpne kildekode-prosjektet HackBrowserData.
Gruppens C2-servere er distribuert på tvers av 17 hostingleverandører og administreres gjennom Astrill VPN, med administrasjonsaktivitet sporet til IP-områder i Kina. Bruken av Astrill VPN har blitt dokumentert gjentatte ganger i tidligere nordkoreanske cyberoperasjoner, noe som forsterker tilliten til attribusjonen.
Konvergens med trusselen fra IT-arbeidere som «lønnsmørke»
Contagious Interview vurderes å utfylle en separat, men relatert kampanje kjent som Wagemole (PurpleDelta). Denne operasjonen involverer nordkoreanske IT-arbeidere som sikrer seg uautorisert arbeid under stjålne eller fabrikkerte identiteter, primært for å generere inntekter og drive spionasje. Selv om Wagemole har vært aktiv siden 2017 og spores som en egen klynge, har etterforskere avdekket bemerkelsesverdige taktiske og infrastrukturelle overlappinger.
Observerte lenker inkluderer PurpleBravo-operatører som viser atferd som samsvarer med nordkoreanske IT-arbeidere, russiske IP-adresser knyttet til kjent IT-arbeideraktivitet som kommuniserer med PurpleBravo-infrastrukturen, og delte Astrill VPN-noder tilknyttet begge klyngene.
Eskalerende forsyningskjede- og bedriftsrisiko
En spesielt bekymringsverdig trend er bruken av fiktive jobbtilbud for å lokke kandidater til å gjennomføre kodevurderinger på arbeidsgivereide systemer, noe som effektivt konverterer en rekrutteringssvindel til en inntrengingsvektor i bedriften. Dette viser at programvare- og IT-forsyningskjeden er svært utsatt for infiltrasjon, selv utenfor de velkjente ansettelsesordningene for IT-arbeidere.
Mange av de målrettede organisasjonene annonserer store kundebaser, noe som forsterker potensialet for kompromisser i nedstrøms forsyningskjeden. Sikkerhetsforskere advarer om at selv om trusselen fra nordkoreanske IT-arbeidere har fått bred oppmerksomhet, fortjener PurpleBravo-modellen for infiltrasjon av forsyningskjeden like stor prioritet. Organisasjoner oppfordres til å styrke ansettelsesprosesser, kontroller for utviklermiljøet og tredjeparts risikostyring for å oppdage, forstyrre og forhindre eksponering av sensitive data for nordkoreanske trusselaktører.
