Kampanja napada PurpleBravo
Analitiki za obveščanje o grožnjah so identificirali 3136 posameznih IP-naslovov, povezanih z verjetnimi tarčami kampanje Contagious Interview. V operaciji naj bi sodelovalo 20 potencialnih organizacij žrtev, ki delujejo na področju umetne inteligence, kriptovalut, finančnih storitev, IT-storitev, trženja in razvoja programske opreme. Prizadeti subjekti segajo v Evropo, Južno Azijo, Bližnji vzhod in Srednjo Ameriko, kar poudarja globalni obseg dejavnosti.
Ocenjuje se, da so bili IP-naslovi, ki so večinoma skoncentrirani v Južni Aziji in Severni Ameriki, tarča napadov med avgustom 2024 in septembrom 2025. Prizadeta podjetja imajo po poročanjih sedež v Belgiji, Bolgariji, Kostariki, Indiji, Italiji, na Nizozemskem, v Pakistanu, Romuniji, Združenih arabskih emiratih in Vietnamu.
Kazalo
PurpleBravo: Plodna severnokorejska skupina groženj
Dejavnost pripisujejo skupini, povezani s Severno Korejo, ki jo spremljajo kot PurpleBravo in je bila prvič dokumentirana konec leta 2023. Ta skupina je v varnostni skupnosti znana pod več oznakami, kar odraža široko spremljanje v panogi:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi in WaterPlum
PurpleBravo je dokazal trajnostne naložbe v dolgoročno infrastrukturo, socialni inženiring in razvoj zlonamerne programske opreme, kar je usklajeno s cilji, ki združujejo kibernetsko vohunjenje in finančno krajo.
Izkoriščanje procesa zaposlovanja in ekosistema razvijalcev
Nedavne ugotovitve sledijo razkritju pomembnega razvoja kampanje Contagious Interview, v kateri sovražniki zlonamerne projekte Microsoft Visual Studio Code uporabljajo kot orožje za distribucijo zadnjih vrat. Ta taktika zlorablja zaupanja vredna orodja in delovne procese razvijalcev, kar povečuje verjetnost uspešne kompromitacije.
Raziskovalci so odkrili goljufive profile na LinkedInu, ki se izdajajo za razvijalce in kadrovnike ter trdijo, da delujejo iz Odese v Ukrajini, skupaj z zlonamernimi repozitoriji GitHub, namenjenimi distribuciji zlonamerne programske opreme, kot je BeaverTail. V več primerih so kandidati za iskanje zaposlitve domnevno izvajali zlonamerno kodo na napravah, izdanih v podjetjih, s čimer so razširili ogrožanje preko posameznikov in neposredno v poslovna okolja.
Arsenal zlonamerne programske opreme in infrastruktura Command
PurpleBravo upravlja ločene infrastrukture za upravljanje in nadzor za podporo več družin zlonamerne programske opreme. Mednje spadata BeaverTail, program za krajo in nalaganje informacij, ki temelji na JavaScriptu, in GolangGhost (sledi se mu tudi kot FlexibleFerret ali WeaselStore), zadnja vrata, ki temeljijo na Gou in izhajajo iz odprtokodnega projekta HackBrowserData.
Strežniki C2 skupine so razporejeni med 17 ponudniki gostovanja in se upravljajo prek Astrill VPN, pri čemer je mogoče upravljavske dejavnosti izslediti do IP-naslovov na Kitajskem. Uporaba Astrill VPN je bila večkrat dokumentirana v prejšnjih severnokorejskih kibernetskih operacijah, kar krepi zaupanje v atribucijo.
Konvergenca z grožnjo IT-delavcev, ki jim grozi »plačniški krti«
Ocenjuje se, da Contagious Interview dopolnjuje ločeno, a sorodno kampanjo, znano kot Wagemole (PurpleDelta). V tej operaciji severnokorejski IT-delavci pridobivajo nepooblaščeno zaposlitev pod ukradenimi ali izmišljenimi identitetami, predvsem za ustvarjanje prihodka in izvajanje vohunjenja. Čeprav je Wagemole aktiven že od leta 2017 in se spremlja kot ločena skupina, so preiskovalci odkrili opazna taktična in infrastrukturna prekrivanja.
Med opaženimi povezavami so operaterji PurpleBravo, ki kažejo vedenje, skladno s severnokorejskimi IT-delavci, ruski IP-naslovi, povezani z znano dejavnostjo IT-delavcev, ki komunicirajo z infrastrukturo PurpleBravo, in skupna VPN-vozlišča Astrill, povezana z obema grozdoma.
Naraščajoče tveganje v dobavni verigi in podjetju
Posebej zaskrbljujoč trend je uporaba fiktivnih ponudb za delo, s katerimi se kandidate privabi k opravljanju ocenjevanj kodiranja na sistemih, ki so v lasti delodajalca, s čimer se prevara pri zaposlovanju dejansko spremeni v vektor vdora v podjetje. To kaže, da je dobavna veriga programske opreme in IT zelo dovzetna za infiltracijo, tudi zunaj dobro oglaševanih shem zaposlovanja IT delavcev.
Številne ciljne organizacije oglašujejo velike baze strank, kar povečuje možnost ogrožanja dobavne verige. Varnostni raziskovalci opozarjajo, da je grožnja severnokorejskih IT-delavcev deležna široke pozornosti, vendar si model infiltracije dobavne verige PurpleBravo zasluži enako prednost. Organizacije so pozvane, naj okrepijo postopke zaposlovanja, nadzor razvijalskega okolja in upravljanje tveganj s strani tretjih oseb, da bi odkrile, prekinile in preprečile izpostavljenost občutljivih podatkov severnokorejskim akterjem grožnje.
