PurpleBravo Attack Campaign

खतरा खुफिया विश्लेषकहरूले संक्रामक अन्तर्वार्ता अभियानको सम्भावित लक्ष्यहरूसँग सम्बन्धित ३,१३६ व्यक्तिगत आईपी ठेगानाहरू पहिचान गरेका छन्। यो अपरेशनमा कृत्रिम बुद्धिमत्ता, क्रिप्टोकरेन्सी, वित्तीय सेवाहरू, आईटी सेवाहरू, मार्केटिङ र सफ्टवेयर विकासमा सञ्चालित २० सम्भावित पीडित संस्थाहरू संलग्न रहेको विश्वास गरिन्छ। प्रभावित संस्थाहरू युरोप, दक्षिण एसिया, मध्य पूर्व र मध्य अमेरिकामा फैलिएका छन्, जसले गतिविधिको विश्वव्यापी दायरालाई जोड दिन्छ।

दक्षिण एसिया र उत्तर अमेरिकामा केन्द्रित आईपी ठेगानाहरू अगस्ट २०२४ र सेप्टेम्बर २०२५ को बीचमा लक्षित गरिएको अनुमान गरिएको छ। प्रभावित कम्पनीहरू बेल्जियम, बुल्गेरिया, कोस्टारिका, भारत, इटाली, नेदरल्याण्ड्स, पाकिस्तान, रोमानिया, संयुक्त अरब इमिरेट्स र भियतनाममा आधारित रहेको बताइएको छ।

पर्पलब्राभो: उत्तर कोरियाली खतराको एक प्रचुर समूह

यो गतिविधि उत्तर कोरियासँग सम्बन्धित क्लस्टरलाई श्रेय दिइएको छ जुन पर्पलब्राभोको रूपमा ट्र्याक गरिएको थियो, जुन पहिलो पटक २०२३ को अन्त्यमा दस्तावेज गरिएको थियो। यो समूह सुरक्षा समुदायमा धेरै पदनामहरू अन्तर्गत परिचित छ, जसले व्यापक उद्योग ट्र्याकिङलाई प्रतिबिम्बित गर्दछ:

CL-STA-0240, Deceptive Development, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi, and WaterPlum

पर्पलब्राभोले साइबर जासुसी र वित्तीय चोरीलाई मिश्रण गर्ने उद्देश्यहरूसँग मिल्दोजुल्दो गरी दीर्घकालीन पूर्वाधार, सामाजिक इन्जिनियरिङ व्यापार, र मालवेयर विकासमा दिगो लगानी प्रदर्शन गरेको छ।

भर्ना प्रक्रिया र विकासकर्ता पारिस्थितिक प्रणालीको शोषण गर्दै

हालैका निष्कर्षहरूले कन्टेगियस अन्तर्वार्ता अभियानमा भएको प्रमुख विकासको खुलासालाई पछ्याउँछन्, जसमा विरोधीहरूले ब्याकडोर वितरण गर्न दुर्भावनापूर्ण माइक्रोसफ्ट भिजुअल स्टुडियो कोड परियोजनाहरूलाई हतियार बनाउँछन्। यो रणनीतिले विश्वसनीय विकासकर्ता उपकरणहरू र कार्यप्रवाहहरूको दुरुपयोग गर्दछ, जसले गर्दा सफल सम्झौताको सम्भावना बढ्छ।

अनुसन्धानकर्ताहरूले विकासकर्ता र भर्तीकर्ताको रूपमा प्रस्तुत गर्ने जालसाजी लिंक्डइन व्यक्तिहरू पहिचान गरेका छन्, जसले ओडेसा, युक्रेनबाट सञ्चालन गर्ने दाबी गर्छन्, साथै BeaverTail जस्ता मालवेयर वितरण गर्न डिजाइन गरिएको दुर्भावनापूर्ण GitHub भण्डारहरू पनि छन्। धेरै घटनाहरूमा, जागिर खोज्ने उम्मेदवारहरूले कर्पोरेट-जारी गरिएका उपकरणहरूमा दुर्भावनापूर्ण कोड कार्यान्वयन गरेको रिपोर्ट गरिएको छ, जसले सम्झौतालाई व्यक्तिहरूभन्दा बाहिर र सिधै उद्यम वातावरणमा विस्तार गर्दछ।

मालवेयर आर्सेनल र कमाण्ड पूर्वाधार

पर्पलब्राभोले धेरै मालवेयर परिवारहरूलाई समर्थन गर्न छुट्टाछुट्टै कमाण्ड-एन्ड-कन्ट्रोल पूर्वाधारहरू सञ्चालन गर्दछ। यसमा BeaverTail, एक जाभास्क्रिप्ट-आधारित इन्फोस्टीलर र लोडर, र GolangGhost (FlexibleFerret वा WeaselStore को रूपमा पनि ट्र्याक गरिएको), एक खुला-स्रोत HackBrowserData परियोजनाबाट व्युत्पन्न Go-आधारित ब्याकडोर समावेश छ।

समूहको C2 सर्भरहरू १७ होस्टिङ प्रदायकहरूमा वितरित छन् र Astrill VPN मार्फत प्रशासित छन्, जसको व्यवस्थापन गतिविधि चीनमा IP दायराहरूमा ट्रेस गरिएको छ। Astrill VPN को प्रयोगलाई उत्तर कोरियाली साइबर अपरेशनहरूमा बारम्बार दस्तावेज गरिएको छ, जसले एट्रिब्युसन विश्वासलाई बलियो बनाउँछ।

'वेजमोल' आईटी कामदारको खतरासँग अभिसरण

संक्रामक अन्तर्वार्तालाई वागेमोल (पर्पलडेल्टा) भनेर चिनिने छुट्टै तर सम्बन्धित अभियानको पूरकको रूपमा मूल्याङ्कन गरिएको छ। त्यो अपरेशनमा उत्तर कोरियाली आईटी कामदारहरूले चोरी वा बनावटी पहिचान अन्तर्गत अनधिकृत रोजगारी सुरक्षित गर्ने समावेश छ, मुख्यतया राजस्व उत्पन्न गर्न र जासुसी गर्न। यद्यपि वागेमोल २०१७ देखि सक्रिय छ र एक फरक क्लस्टरको रूपमा ट्र्याक गरिएको छ, अनुसन्धानकर्ताहरूले उल्लेखनीय रणनीतिक र पूर्वाधार ओभरल्यापहरू पत्ता लगाएका छन्।

अवलोकन गरिएका लिङ्कहरूमा उत्तर कोरियाली आईटी कामदारहरूसँग मिल्दो व्यवहार प्रदर्शन गर्ने पर्पलब्राभो अपरेटरहरू, पर्पलब्राभो पूर्वाधारसँग सञ्चार गर्ने ज्ञात आईटी कामदार गतिविधिसँग जोडिएका रूसी आईपी ठेगानाहरू, र दुबै क्लस्टरहरूसँग सम्बन्धित साझा एस्ट्रिल VPN नोडहरू समावेश छन्।

बढ्दो आपूर्ति-श्रृंखला र उद्यम जोखिम

विशेष गरी चिन्ताजनक प्रवृत्ति भनेको रोजगारदाताको स्वामित्वमा रहेका प्रणालीहरूमा कोडिङ मूल्याङ्कन पूरा गर्न उम्मेदवारहरूलाई लोभ्याउन काल्पनिक जागिर प्रस्तावहरूको प्रयोग हो, जसले भर्ती घोटालालाई प्रभावकारी रूपमा उद्यम घुसपैठ भेक्टरमा रूपान्तरण गर्दछ। यसले देखाउँछ कि सफ्टवेयर र आईटी आपूर्ति श्रृंखला घुसपैठको लागि अत्यधिक संवेदनशील छ, राम्रोसँग प्रचारित आईटी कार्यकर्ता रोजगार योजनाहरू बाहिर पनि।

धेरै लक्षित संस्थाहरूले ठूला ग्राहक आधारहरूको विज्ञापन गर्छन्, जसले गर्दा डाउनस्ट्रीम आपूर्ति-श्रृंखला सम्झौताको सम्भावना बढ्छ। सुरक्षा अनुसन्धानकर्ताहरूले चेतावनी दिन्छन् कि, उत्तर कोरियाली आईटी कामदारको खतराले व्यापक ध्यान पाएको छ, तर आपूर्ति-श्रृंखला घुसपैठको पर्पलब्राभो मोडेलले समान प्राथमिकताको वारेन्टी दिन्छ। उत्तर कोरियाली खतरा अभिनेताहरूलाई संवेदनशील डेटा एक्सपोजर पत्ता लगाउन, अवरोध गर्न र रोक्न भर्ती प्रक्रियाहरू, विकासकर्ता वातावरण नियन्त्रणहरू, र तेस्रो-पक्ष जोखिम व्यवस्थापनलाई बलियो बनाउन संस्थाहरूलाई आग्रह गरिएको छ।