Kampania ataku PurpleBravo
Analitycy ds. zagrożeń zidentyfikowali 3136 indywidualnych adresów IP powiązanych z prawdopodobnymi celami kampanii Contagious Interview. Uważa się, że w operację zaangażowanych jest 20 organizacji, które mogą być potencjalnymi ofiarami, działających w obszarach sztucznej inteligencji, kryptowalut, usług finansowych, usług IT, marketingu i rozwoju oprogramowania. Podmioty, których dotyczył atak, pochodzą z Europy, Azji Południowej, Bliskiego Wschodu i Ameryki Środkowej, co podkreśla globalny zasięg tej działalności.
Ocenia się, że adresy IP, skoncentrowane głównie w Azji Południowej i Ameryce Północnej, padły ofiarą ataku w okresie od sierpnia 2024 r. do września 2025 r. Dotknięte atakiem firmy mają podobno siedziby w Belgii, Bułgarii, Kostaryce, Indiach, Włoszech, Holandii, Pakistanie, Rumunii, Zjednoczonych Emiratach Arabskich i Wietnamie.
Spis treści
PurpleBravo: Potężny klaster zagrożeń ze strony Korei Północnej
Aktywność ta przypisywana jest powiązanemu z Koreą Północną klastrowi śledzonemu jako PurpleBravo, którego pierwszy raz udokumentowano pod koniec 2023 roku. Grupa ta jest znana w społeczności zajmującej się bezpieczeństwem pod wieloma nazwami, co odzwierciedla szerokie monitorowanie w branży:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi i WaterPlum
PurpleBravo wykazało się trwałymi inwestycjami w długoterminową infrastrukturę, techniki socjotechniczne i rozwój złośliwego oprogramowania, co jest zgodne z celami łączącymi cybernetyczne szpiegostwo i kradzież finansową.
Wykorzystanie procesu rekrutacji i ekosystemu programistów
Najnowsze odkrycia są następstwem ujawnienia istotnej ewolucji kampanii Contagious Interview, w której przeciwnicy wykorzystują złośliwe projekty Microsoft Visual Studio Code do dystrybucji backdoorów. Ta taktyka wykorzystuje zaufane narzędzia i procesy programistyczne, zwiększając prawdopodobieństwo skutecznego ataku.
Badacze zidentyfikowali fałszywe konta na LinkedIn podszywające się pod programistów i rekruterów, którzy twierdzili, że działają z Odessy na Ukrainie. Działają one również w złośliwych repozytoriach GitHub, których celem jest dystrybucja złośliwego oprogramowania, takiego jak BeaverTail. W kilku przypadkach kandydaci poszukujący pracy podobno uruchamiali złośliwy kod na urządzeniach firmowych, rozszerzając zagrożenie poza użytkowników indywidualnych, bezpośrednio na środowiska korporacyjne.
Arsenał złośliwego oprogramowania i infrastruktura dowodzenia
PurpleBravo obsługuje oddzielne infrastruktury dowodzenia i kontroli, obsługujące wiele rodzin złośliwego oprogramowania. Należą do nich BeaverTail, oparty na JavaScript program do wykradania informacji i ich ładowania, oraz GolangGhost (znany również jako FlexibleFerret lub WeaselStore), backdoor oparty na Go, wywodzący się z projektu HackBrowserData o otwartym kodzie źródłowym.
Serwery C2 grupy są rozproszone u 17 dostawców hostingu i administrowane za pośrednictwem Astrill VPN, a aktywność zarządcza jest śledzona w zakresie adresów IP w Chinach. Wykorzystanie Astrill VPN było wielokrotnie dokumentowane podczas poprzednich cyberataków w Korei Północnej, co wzmacnia pewność atrybucji.
Konwergencja z zagrożeniem dla pracowników IT „Wagemole”
Ocenia się, że Contagious Interview uzupełnia odrębną, ale powiązaną kampanię znaną jako Wagemole (PurpleDelta). Operacja ta polega na zatrudnianiu północnokoreańskich informatyków pod skradzionymi lub sfabrykowanymi tożsamościami, głównie w celu generowania przychodów i prowadzenia działań szpiegowskich. Chociaż Wagemole działa od 2017 roku i jest śledzony jako odrębna grupa, śledczy odkryli istotne powiązania taktyczne i infrastrukturalne.
Zaobserwowane powiązania obejmują operatorów PurpleBravo wykazujących zachowania podobne do zachowań pracowników IT z Korei Północnej, rosyjskie adresy IP powiązane ze znaną aktywnością pracowników IT komunikujących się z infrastrukturą PurpleBravo oraz współdzielone węzły Astrill VPN powiązane z obydwoma klastrami.
Rosnące ryzyko w łańcuchu dostaw i przedsiębiorstwie
Szczególnie niepokojącym trendem jest wykorzystywanie fikcyjnych ofert pracy w celu nakłonienia kandydatów do udziału w testach kodowania w systemach należących do pracodawcy, co skutecznie przekształca oszustwo rekrutacyjne w wektor włamania do przedsiębiorstwa. Pokazuje to, że łańcuch dostaw oprogramowania i IT jest wysoce podatny na infiltrację, nawet poza dobrze nagłośnionymi programami zatrudniania pracowników IT.
Wiele organizacji będących celem ataków reklamuje się jako posiadające duże bazy klientów, co zwiększa ryzyko naruszenia łańcucha dostaw. Badacze bezpieczeństwa ostrzegają, że chociaż zagrożenie ze strony północnokoreańskich pracowników IT spotkało się z szerokim zainteresowaniem, model infiltracji łańcucha dostaw PurpleBravo zasługuje na równy priorytet. Organizacje są zachęcane do wzmocnienia procesów rekrutacyjnych, kontroli środowiska programistycznego oraz zarządzania ryzykiem zewnętrznym w celu wykrywania, blokowania i zapobiegania ujawnieniu poufnych danych północnokoreańskim podmiotom stanowiącym zagrożenie.
