Útočná kampaň PurpleBravo
Analytici v oblasti bezpečnostných informácií identifikovali 3 136 individuálnych IP adries spojených s pravdepodobnými cieľmi kampane Contagious Interview. Predpokladá sa, že do operácie je zapojených 20 potenciálnych organizácií, ktoré pôsobia v oblasti umelej inteligencie, kryptomien, finančných služieb, IT služieb, marketingu a vývoja softvéru. Dotknuté subjekty sa nachádzajú v Európe, Južnej Ázii, na Blízkom východe a v Strednej Amerike, čo zdôrazňuje globálny rozsah tejto aktivity.
Predpokladá sa, že IP adresy, ktoré sú prevažne sústredené v južnej Ázii a Severnej Amerike, boli terčom útokov medzi augustom 2024 a septembrom 2025. Dotknuté spoločnosti majú údajne sídlo v Belgicku, Bulharsku, Kostarike, Indii, Taliansku, Holandsku, Pakistane, Rumunsku, Spojených arabských emirátoch a Vietname.
Obsah
PurpleBravo: Plodný severokórejský klaster hrozieb
Aktivita sa pripisuje klastru prepojenému so Severnou Kóreou, ktorý je sledovaný ako PurpleBravo a bol prvýkrát zdokumentovaný koncom roka 2023. Táto skupina je v bezpečnostnej komunite známa pod viacerými označeniami, čo odráža široké sledovanie v tomto odvetví:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi a WaterPlum
Spoločnosť PurpleBravo preukázala trvalé investície do dlhodobej infraštruktúry, remesiel sociálneho inžinierstva a vývoja malvéru, pričom ciele sú v súlade s kybernetickou špionážou a finančnými krádežami.
Využívanie náborového procesu a ekosystému vývojárov
Nedávne zistenia nasledujú po odhalení zásadného vývoja kampane Contagious Interview, v ktorej útočníci využívajú škodlivé projekty Microsoft Visual Studio Code na šírenie zadných vrátok. Táto taktika zneužíva dôveryhodné nástroje a pracovné postupy pre vývojárov, čím zvyšuje pravdepodobnosť úspešného napadnutia.
Výskumníci identifikovali podvodné profily na LinkedIn, ktoré sa vydávajú za vývojárov a náborárov a tvrdia, že pôsobia z Odesy na Ukrajine, spolu so škodlivými repozitármi GitHub určenými na distribúciu malvéru, ako je napríklad BeaverTail. V niekoľkých prípadoch uchádzači o zamestnanie údajne spustili škodlivý kód na zariadeniach vydaných spoločnosťami, čím sa kompromitácia rozšírila aj mimo jednotlivcov a priamo do podnikových prostredí.
Arsenál škodlivého softvéru a infraštruktúra príkazov
PurpleBravo prevádzkuje samostatné infraštruktúry velenia a riadenia na podporu viacerých rodín malvéru. Patria sem BeaverTail, nástroj na ukradnutie a zavádzanie informácií založený na JavaScripte, a GolangGhost (tiež sledovaný ako FlexibleFerret alebo WeaselStore), backdoor založený na jazyku Go odvodený od open-source projektu HackBrowserData.
Servery C2 skupiny sú rozmiestnené medzi 17 poskytovateľmi hostingu a sú spravované prostredníctvom siete Astrill VPN, pričom aktivita správy je sledovaná až po rozsahy IP adries v Číne. Používanie siete Astrill VPN bolo opakovane zdokumentované v predchádzajúcich severokórejských kybernetických operáciách, čo posilňuje dôveru v atribuciu.
Konvergencia s hrozbou „mzdového krtka“ v oblasti IT pracovníkov
Operácia Contagious Interview je považovaná za doplnok k samostatnej, ale súvisiacej kampani známej ako Wagemole (PurpleDelta). Táto operácia zahŕňa severokórejských IT pracovníkov, ktorí si zabezpečujú neoprávnené zamestnanie pod ukradnutými alebo vymyslenými identitami, predovšetkým na generovanie príjmov a vykonávanie špionáže. Hoci Wagemole je aktívny od roku 2017 a je sledovaný ako samostatný klaster, vyšetrovatelia odhalili výrazné taktické a infraštruktúrne prekrývania.
Medzi pozorované prepojenia patria operátori PurpleBravo vykazujúci správanie zodpovedajúce severokórejským IT pracovníkom, ruské IP adresy prepojené so známou aktivitou IT pracovníkov komunikujúcich s infraštruktúrou PurpleBravo a zdieľané VPN uzly Astrill spojené s oboma klastrami.
Rastúce riziká v dodávateľskom reťazci a podniku
Obzvlášť znepokojujúcim trendom je používanie fiktívnych pracovných ponúk na nalákanie kandidátov k absolvovaniu kódovacích testov na systémoch vlastnených zamestnávateľom, čím sa náborový podvod efektívne premení na vektor narušenia podnikových procesov. To dokazuje, že dodávateľský reťazec softvéru a IT je vysoko náchylný na infiltráciu, a to aj mimo dobre propagovaných schém zamestnávania IT pracovníkov.
Mnohé z cieľových organizácií propagujú rozsiahle zákaznícke základne, čo zvyšuje potenciál pre kompromitáciu dodávateľského reťazca. Bezpečnostní výskumníci varujú, že hoci hrozba zo strany severokórejských IT pracovníkov získala širokú pozornosť, model infiltrácie dodávateľského reťazca PurpleBravo si zaslúži rovnakú prioritu. Organizácie sú vyzývané, aby posilnili procesy prijímania zamestnancov, kontroly vývojárskeho prostredia a riadenie rizík tretích strán s cieľom odhaliť, narušiť a zabrániť vystaveniu citlivých údajov severokórejským aktérom hrozbám.
