PurpleBravo Attack Campaign
Analistët e inteligjencës së kërcënimeve kanë identifikuar 3,136 adresa IP individuale të lidhura me objektiva të mundshëm të fushatës Contagious Interview. Operacioni besohet se përfshin 20 organizata viktimash të mundshme që operojnë në inteligjencën artificiale, kriptomonedhat, shërbimet financiare, shërbimet e IT-së, marketingun dhe zhvillimin e softuerëve. Entitetet e prekura përfshijnë Evropën, Azinë Jugore, Lindjen e Mesme dhe Amerikën Qendrore, duke nënvizuar fushëveprimin global të aktivitetit.
Adresat IP, të përqendruara kryesisht në Azinë Jugore dhe Amerikën e Veriut, vlerësohet se kanë qenë në shënjestër midis gushtit 2024 dhe shtatorit 2025. Kompanitë e prekura thuhet se janë të bazuara në Belgjikë, Bullgari, Kosta Rika, Indi, Itali, Holandë, Pakistan, Rumani, Emiratet e Bashkuara Arabe dhe Vietnam.
Tabela e Përmbajtjes
PurpleBravo: Një grumbull kërcënimesh i frytshëm nga Koreja e Veriut
Aktiviteti i atribuohet një grumbulli të lidhur me Korenë e Veriut, të gjurmuar si PurpleBravo, i dokumentuar për herë të parë në fund të vitit 2023. Ky grup njihet në të gjithë komunitetin e sigurisë nën emërtime të shumta, duke reflektuar ndjekjen e gjerë të industrisë:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi dhe WaterPlum
PurpleBravo ka demonstruar investime të qëndrueshme në infrastrukturën afatgjatë, inxhinierinë sociale dhe zhvillimin e programeve keqdashëse, duke u përafruar me objektivat që përziejnë spiunazhin kibernetik dhe vjedhjen financiare.
Shfrytëzimi i Procesit të Punësimit dhe Ekosistemit të Zhvilluesve
Gjetjet e fundit vijnë pas zbulimit të një evolucioni të madh në fushatën Contagious Interview, në të cilën kundërshtarët përdorin projekte keqdashëse të Kodit Microsoft Visual Studio për të shpërndarë "backdoors". Kjo taktikë abuzon me mjetet dhe rrjedhat e punës të besuara të zhvilluesve, duke rritur gjasat e një komprometimi të suksesshëm.
Studiuesit kanë identifikuar personazhe mashtrues të LinkedIn që paraqiten si zhvillues dhe rekrutues, duke pretenduar se veprojnë nga Odesa, Ukrainë, së bashku me depo keqdashëse të GitHub të dizajnuara për të shpërndarë programe keqdashëse si BeaverTail. Në disa incidente, kandidatët që kërkonin punë thuhet se ekzekutuan kod keqdashës në pajisje të lëshuara nga korporatat, duke e zgjeruar kompromentimin përtej individëve dhe direkt në mjediset e ndërmarrjeve.
Arsenali i Malware dhe Infrastruktura e Komandës
PurpleBravo operon infrastruktura të ndara komandimi dhe kontrolli për të mbështetur familje të shumta programesh keqdashëse. Këto përfshijnë BeaverTail, një program vjedhës dhe ngarkues informacioni i bazuar në JavaScript, dhe GolangGhost (i gjurmuar gjithashtu si FlexibleFerret ose WeaselStore), një derë e pasme e bazuar në Go e nxjerrë nga projekti me burim të hapur HackBrowserData.
Serverat C2 të grupit janë të shpërndarë në 17 ofrues të shërbimeve të strehimit dhe administrohen përmes Astrill VPN, me aktivitet menaxhimi të gjurmuar në diapazonin IP në Kinë. Përdorimi i Astrill VPN është dokumentuar vazhdimisht në operacionet e mëparshme kibernetike të Koresë së Veriut, duke përforcuar besimin e atribuimit.
Konvergjenca me kërcënimin e punonjësve të IT-së 'Wagemole'
Intervista Kontagjioze vlerësohet për të plotësuar një fushatë të veçantë, por të lidhur me të, të njohur si Wagemole (PurpleDelta). Ky operacion përfshin punonjës të IT-së të Koresë së Veriut që sigurojnë punësim të paautorizuar nën identitete të vjedhura ose të fabrikuara, kryesisht për të gjeneruar të ardhura dhe për të kryer spiunazh. Edhe pse Wagemole ka qenë aktiv që nga viti 2017 dhe gjurmohet si një grup i veçantë, hetuesit kanë zbuluar mbivendosje të dukshme taktike dhe infrastrukturore.
Lidhjet e vëzhguara përfshijnë operatorët PurpleBravo që shfaqin sjellje në përputhje me punonjësit e IT-së të Koresë së Veriut, adresat IP ruse të lidhura me aktivitetin e njohur të punonjësve të IT-së që komunikojnë me infrastrukturën PurpleBravo dhe nyjet e përbashkëta VPN të Astrill të lidhura me të dy grupet.
Rritje e rrezikut të zinxhirit të furnizimit dhe ndërmarrjes
Një trend veçanërisht shqetësues është përdorimi i ofertave fiktive të punës për të joshur kandidatët që të kryejnë vlerësime kodimi në sistemet në pronësi të punëdhënësit, duke e shndërruar në mënyrë efektive një mashtrim rekrutimi në një vektor ndërhyrjeje në ndërmarrje. Kjo tregon se zinxhiri i furnizimit me softuer dhe IT është shumë i ndjeshëm ndaj infiltrimit, madje edhe jashtë skemave të punësimit të punonjësve të IT-së, të cilat janë shumë të publikuara.
Shumë nga organizatat e synuara reklamojnë baza të mëdha klientësh, duke amplifikuar potencialin për kompromentim të zinxhirit të furnizimit në rrjedhën e poshtme. Studiuesit e sigurisë paralajmërojnë se, ndërsa kërcënimi nga punonjësit e IT-së në Korenë e Veriut ka marrë vëmendje të gjerë, modeli PurpleBravo i infiltrimit të zinxhirit të furnizimit meriton përparësi të barabartë. Organizatat nxiten të forcojnë proceset e punësimit, kontrollet e mjedisit të zhvilluesve dhe menaxhimin e rrezikut nga palët e treta për të zbuluar, ndërprerë dhe parandaluar ekspozimin ndaj të dhënave të ndjeshme ndaj aktorëve kërcënues të Koresë së Veriut.
