Кампания «Фиолетовый браво»
Аналитики, занимающиеся анализом угроз, выявили 3136 отдельных IP-адресов, связанных с вероятными целями кампании Contagious Interview. Предполагается, что в операции участвуют 20 потенциальных организаций-жертв, работающих в сферах искусственного интеллекта, криптовалют, финансовых услуг, ИТ-услуг, маркетинга и разработки программного обеспечения. Затронутые организации находятся в Европе, Южной Азии, на Ближнем Востоке и в Центральной Америке, что подчеркивает глобальный масштаб этой деятельности.
По оценкам, IP-адреса, в основном сосредоточенные в Южной Азии и Северной Америке, стали объектом атак в период с августа 2024 года по сентябрь 2025 года. Сообщается, что пострадавшие компании расположены в Бельгии, Болгарии, Коста-Рике, Индии, Италии, Нидерландах, Пакистане, Румынии, Объединенных Арабских Эмиратах и Вьетнаме.
Оглавление
PurpleBravo: Крупный кластер угроз со стороны Северной Кореи
Данная деятельность приписывается связанной с Северной Кореей группе, отслеживаемой под названием PurpleBravo, впервые задокументированной в конце 2023 года. Эта группа известна в сообществе специалистов по безопасности под различными названиями, что отражает широкое отслеживание в отрасли:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Знаменитая Чоллима, Банда Гвисина, Tenacious Pungsan, UNC5342, Void Dokkaebi и WaterPlum
Компания PurpleBravo продемонстрировала устойчивые инвестиции в долгосрочную инфраструктуру, методы социальной инженерии и разработку вредоносного ПО, что соответствует целям, сочетающим кибершпионаж и финансовые кражи.
Использование возможностей процесса найма и экосистемы разработчиков.
Недавние открытия последовали за раскрытием значительного развития кампании Contagious Interview, в рамках которой злоумышленники используют вредоносные проекты Microsoft Visual Studio Code для распространения бэкдоров. Эта тактика злоупотребляет доверенными инструментами и рабочими процессами разработчиков, повышая вероятность успешного взлома.
Исследователи выявили мошеннические профили в LinkedIn, выдающие себя за разработчиков и рекрутеров, утверждающих, что они работают из Одессы, Украина, а также вредоносные репозитории GitHub, предназначенные для распространения вредоносного ПО, такого как BeaverTail. В нескольких случаях, как сообщается, кандидаты на вакансии запускали вредоносный код на корпоративных устройствах, распространяя угрозу не только на отдельных лиц, но и непосредственно на корпоративную среду.
Арсенал вредоносного ПО и командная инфраструктура
PurpleBravo использует отдельные инфраструктуры управления и контроля для поддержки нескольких семейств вредоносных программ. К ним относятся BeaverTail, основанный на JavaScript похититель и загрузчик информации, и GolangGhost (также отслеживаемый как FlexibleFerret или WeaselStore), бэкдор на языке Go, созданный на основе проекта с открытым исходным кодом HackBrowserData.
Серверы управления и контроля группы распределены между 17 хостинг-провайдерами и администрируются через Astrill VPN, а активность управления отслеживается по диапазонам IP-адресов в Китае. Использование Astrill VPN неоднократно документировалось в предыдущих кибер-операциях Северной Кореи, что укрепляет уверенность в установлении авторства.
Сближение с угрозой со стороны ИТ-специалистов типа «Wagemole»
Операция «Заразное интервью» рассматривается как дополнение к отдельной, но связанной с ней кампании, известной как «Вагемоле» (PurpleDelta). Эта операция предполагает, что северокорейские IT-специалисты устраиваются на нелегальную работу, используя украденные или сфабрикованные удостоверения личности, главным образом для получения дохода и ведения шпионажа. Хотя «Вагемоле» действует с 2017 года и отслеживается как отдельный кластер, следователи выявили значительные тактические и инфраструктурные пересечения.
Среди выявленных связей — поведение операторов PurpleBravo, характерное для северокорейских ИТ-специалистов, российские IP-адреса, связанные с известной активностью ИТ-специалистов, взаимодействующих с инфраструктурой PurpleBravo, а также общие узлы VPN Astrill, связанные с обоими кластерами.
Нарастание рисков в цепочке поставок и на уровне предприятия.
Особенно тревожной тенденцией является использование фиктивных предложений о работе для заманивания кандидатов на прохождение тестов по программированию на системах, принадлежащих работодателю, что фактически превращает мошенничество при найме в вектор проникновения в корпоративную сеть. Это демонстрирует высокую уязвимость цепочки поставок программного обеспечения и ИТ-услуг даже вне широко известных схем трудоустройства ИТ-специалистов.
Многие из целевых организаций рекламируют обширные клиентские базы, что усиливает потенциал компрометации цепочки поставок. Исследователи в области безопасности предупреждают, что, хотя угроза со стороны северокорейских ИТ-специалистов получила широкое освещение, модель проникновения в цепочку поставок PurpleBravo заслуживает не меньшего внимания. Организациям настоятельно рекомендуется усилить процессы найма, контроль среды разработки и управление рисками со стороны третьих лиц, чтобы выявлять, пресекать и предотвращать утечку конфиденциальных данных северокорейским хакерам.
