Кампања за напад „ПурплБраво“
Аналитичари обавештајних података о претњама идентификовали су 3.136 појединачних ИП адреса повезаних са вероватним метама кампање „Заразно интервју“. Верује се да је у операцији учествовало 20 потенцијалних организација жртава које послују у области вештачке интелигенције, криптовалута, финансијских услуга, ИТ услуга, маркетинга и развоја софтвера. Погођени ентитети се простиру у Европи, Јужној Азији, Блиском истоку и Централној Америци, што наглашава глобални обим активности.
Процењује се да су IP адресе, углавном концентрисане у Јужној Азији и Северној Америци, биле мета између августа 2024. и септембра 2025. године. Погођене компаније се наводно налазе у Белгији, Бугарској, Костарики, Индији, Италији, Холандији, Пакистану, Румунији, Уједињеним Арапским Емиратима и Вијетнаму.
Преглед садржаја
PurpleBravo: Плодан севернокорејски кластер претњи
Активност се приписује кластеру повезаном са Северном Корејом, праћеном као „ПурплБраво“, први пут документованом крајем 2023. године. Ова група је позната у безбедносној заједници под вишеструким ознакама, што одражава широко праћење у индустрији:
ЦЛ-СТА-0240, ДецептивеДевелопмент, ДЕВ#ПОППЕР, Фамоус Цхоллима, Гвисин Ганг, Тенациоус Пунгсан, УНЦ5342, Воид Доккаеби и ВатерПлум
PurpleBravo је показао континуирана улагања у дугорочну инфраструктуру, социјални инжењеринг и развој злонамерног софтвера, усклађујући се са циљевима који комбинују сајбер шпијунажу и финансијску крађу.
Искоришћавање процеса запошљавања и екосистема програмера
Недавна открића долазе након откривања велике еволуције у кампањи „Заразни интервју“, у којој противники користе злонамерне пројекте Microsoft Visual Studio Code као оружје за дистрибуцију задњих врата. Ова тактика злоупотребљава поуздане алате и токове рада програмера, повећавајући вероватноћу успешног компромитовања.
Истраживачи су идентификовали лажне LinkedIn персоне које се представљају као програмери и регрутери, тврдећи да раде из Одесе, у Украјини, заједно са злонамерним GitHub репозиторијумима дизајнираним за дистрибуцију малвера као што је BeaverTail. У неколико инцидената, кандидати који траже посао су наводно покренули злонамерни код на уређајима које су издале компаније, проширујући компромитовање ван појединаца и директно у пословна окружења.
Арсенал злонамерног софтвера и командна инфраструктура
PurpleBravo управља одвојеним инфраструктурама за командовање и контролу како би подржао више породица малвера. То укључује BeaverTail, програм за крађу и учитавање информација заснован на JavaScript-у, и GolangGhost (такође праћен као FlexibleFerret или WeaselStore), задња врата заснована на Go-у, изведена из пројекта отвореног кода HackBrowserData.
C2 сервери групе су распоређени код 17 провајдера хостинга и администрирају се преко Astrill VPN-а, а активности управљања се могу пратити до IP опсега у Кини. Употреба Astrill VPN-а је више пута документована у претходним севернокорејским сајбер операцијама, што појачава поверење у атрибуцију.
Конвергенција са претњом „наднице“ ИТ радника
Процењује се да „Contagious Interview“ допуњује посебну, али повезану кампању познату као Wagemole (PurpleDelta). Та операција укључује севернокорејске ИТ раднике који обезбеђују неовлашћено запослење под украденим или лажним идентитетима, првенствено ради генерисања прихода и обављања шпијунаже. Иако је Wagemole активан од 2017. године и прати се као посебан кластер, истражитељи су открили значајна тактичка и инфраструктурна преклапања.
Уочене везе укључују оператере PurpleBravo-а који показују понашање конзистентно са севернокорејским ИТ радницима, руске IP адресе повезане са познатим активностима ИТ радника који комуницирају са PurpleBravo инфраструктуром и дељене Astrill VPN чворове повезане са оба кластера.
Ескалација ризика у ланцу снабдевања и предузећу
Посебно забрињавајући тренд је коришћење фиктивних понуда за посао како би се кандидати намамили да попуне процене кодирања на системима у власништву послодавца, чиме се превара у регрутовању ефикасно претвара у вектор упада у предузеће. Ово показује да је ланац снабдевања софтвером и ИТ-ом веома подложан инфилтрацији, чак и ван добро познатих шема запошљавања ИТ радника.
Многе од циљаних организација рекламирају велике базе купаца, што појачава потенцијал за компромитовање низводног ланца снабдевања. Истраживачи безбедности упозоравају да, иако је претња севернокорејских ИТ радника добила широку пажњу, модел инфилтрације ланца снабдевања „ПурплБраво“ заслужује једнак приоритет. Организације се позивају да ојачају процесе запошљавања, контроле окружења за програмере и управљање ризицима трећих страна како би откриле, пореметиле и спречиле излагање осетљивих података севернокорејским актерима претњи.
