పర్పుల్ బ్రావో దాడి ప్రచారం

థ్రెట్ ఇంటెలిజెన్స్ విశ్లేషకులు కాంటాజియస్ ఇంటర్వ్యూ ప్రచారం యొక్క లక్ష్యాలకు అనుసంధానించబడిన 3,136 వ్యక్తిగత IP చిరునామాలను గుర్తించారు. ఈ ఆపరేషన్‌లో కృత్రిమ మేధస్సు, క్రిప్టోకరెన్సీ, ఆర్థిక సేవలు, ఐటీ సేవలు, మార్కెటింగ్ మరియు సాఫ్ట్‌వేర్ అభివృద్ధిలో పనిచేస్తున్న 20 సంభావ్య బాధితుల సంస్థలు పాల్గొంటాయని నమ్ముతారు. ప్రభావిత సంస్థలు యూరప్, దక్షిణాసియా, మధ్యప్రాచ్యం మరియు మధ్య అమెరికాలలో విస్తరించి ఉన్నాయి, ఇది కార్యకలాపాల యొక్క ప్రపంచ పరిధిని నొక్కి చెబుతుంది.

దక్షిణాసియా మరియు ఉత్తర అమెరికాలో ఎక్కువగా కేంద్రీకృతమై ఉన్న ఈ IP చిరునామాలు ఆగస్టు 2024 మరియు సెప్టెంబర్ 2025 మధ్య లక్ష్యంగా చేసుకున్నట్లు అంచనా వేయబడింది. ప్రభావితమైన కంపెనీలు బెల్జియం, బల్గేరియా, కోస్టారికా, భారతదేశం, ఇటలీ, నెదర్లాండ్స్, పాకిస్తాన్, రొమేనియా, యునైటెడ్ అరబ్ ఎమిరేట్స్ మరియు వియత్నాంలలో ఉన్నట్లు నివేదించబడింది.

పర్పుల్ బ్రావో: ఉత్తర కొరియా యొక్క ఫలవంతమైన ముప్పు సమూహం

ఈ కార్యకలాపం పర్పుల్‌బ్రావోగా ట్రాక్ చేయబడిన ఉత్తర కొరియా-లింక్డ్ క్లస్టర్‌కు ఆపాదించబడింది, దీనిని మొదట 2023 చివరిలో నమోదు చేశారు. ఈ సమూహం భద్రతా సంఘం అంతటా బహుళ హోదాల కింద ప్రసిద్ధి చెందింది, ఇది విస్తృత పరిశ్రమ ట్రాకింగ్‌ను ప్రతిబింబిస్తుంది:

CL-STA-0240, డిసెప్టివ్ డెవలప్‌మెంట్, DEV#POPPER, ఫేమస్ చోల్లిమా, గ్విసిన్ గ్యాంగ్, టెనాసియస్ పుంగ్సన్, UNC5342, వాయిడ్ డొక్కేబి మరియు వాటర్‌ప్లమ్

సైబర్ గూఢచర్యం మరియు ఆర్థిక దొంగతనాలను మిళితం చేసే లక్ష్యాలకు అనుగుణంగా, పర్పుల్‌బ్రావో దీర్ఘకాలిక మౌలిక సదుపాయాలు, సోషల్ ఇంజనీరింగ్ ట్రేడ్‌క్రాఫ్ట్ మరియు మాల్వేర్ అభివృద్ధిలో నిరంతర పెట్టుబడిని ప్రదర్శించింది.

నియామక ప్రక్రియ మరియు డెవలపర్ పర్యావరణ వ్యవస్థను ఉపయోగించడం

ఇటీవలి పరిశోధన ఫలితాలు కాంటాజియస్ ఇంటర్వ్యూ ప్రచారంలో ఒక ప్రధాన పరిణామాన్ని బహిర్గతం చేసిన తర్వాత వచ్చాయి, దీనిలో ప్రత్యర్థులు హానికరమైన మైక్రోసాఫ్ట్ విజువల్ స్టూడియో కోడ్ ప్రాజెక్టులను బ్యాక్‌డోర్లను పంపిణీ చేయడానికి ఆయుధాలుగా ఉపయోగిస్తున్నారు. ఈ వ్యూహం విశ్వసనీయ డెవలపర్ సాధనాలు మరియు వర్క్‌ఫ్లోలను దుర్వినియోగం చేస్తుంది, విజయవంతమైన రాజీ సంభావ్యతను పెంచుతుంది.

బీవర్‌టెయిల్ వంటి మాల్వేర్‌ను పంపిణీ చేయడానికి రూపొందించిన హానికరమైన గిట్‌హబ్ రిపోజిటరీలతో పాటు, ఉక్రెయిన్‌లోని ఒడెసా నుండి పనిచేస్తున్నట్లు చెప్పుకుంటూ డెవలపర్లు మరియు రిక్రూటర్లుగా నటిస్తూ మోసపూరిత లింక్డ్ఇన్ వ్యక్తులను పరిశోధకులు గుర్తించారు. అనేక సంఘటనలలో, ఉద్యోగార్ధులైన అభ్యర్థులు కార్పొరేట్ జారీ చేసిన పరికరాల్లో హానికరమైన కోడ్‌ను అమలు చేసినట్లు నివేదించబడింది, ఇది వ్యక్తులకు మించి నేరుగా ఎంటర్‌ప్రైజ్ వాతావరణాలలోకి రాజీని విస్తరించింది.

మాల్వేర్ ఆర్సెనల్ మరియు కమాండ్ ఇన్ఫ్రాస్ట్రక్చర్

బహుళ మాల్వేర్ కుటుంబాలకు మద్దతు ఇవ్వడానికి పర్పుల్‌బ్రావో ప్రత్యేక కమాండ్-అండ్-కంట్రోల్ ఇన్‌ఫ్రాస్ట్రక్చర్‌లను నిర్వహిస్తుంది. వీటిలో జావాస్క్రిప్ట్ ఆధారిత ఇన్ఫోస్టీలర్ మరియు లోడర్ అయిన బీవర్‌టైల్ మరియు ఓపెన్-సోర్స్ హ్యాక్‌బ్రౌజర్‌డేటా ప్రాజెక్ట్ నుండి తీసుకోబడిన గో-ఆధారిత బ్యాక్‌డోర్ అయిన గోలాంగ్‌గోస్ట్ (ఫ్లెక్సిబుల్‌ఫెర్రెట్ లేదా వీసెల్‌స్టోర్ అని కూడా ట్రాక్ చేయబడుతుంది) ఉన్నాయి.

ఈ గ్రూప్ యొక్క C2 సర్వర్లు 17 హోస్టింగ్ ప్రొవైడర్లలో పంపిణీ చేయబడ్డాయి మరియు ఆస్ట్రిల్ VPN ద్వారా నిర్వహించబడతాయి, నిర్వహణ కార్యకలాపాలు చైనాలోని IP పరిధులకు సంబంధించినవి. ఆస్ట్రిల్ VPN వాడకం మునుపటి ఉత్తర కొరియా సైబర్ కార్యకలాపాలలో పదేపదే నమోదు చేయబడింది, ఇది లక్షణ విశ్వాసాన్ని బలోపేతం చేస్తుంది.

'వేజ్‌మోల్' ఐటీ కార్మికుల ముప్పుతో కలయిక

వేజ్‌మోల్ (పర్పుల్‌డెల్టా) అని పిలువబడే ఒక ప్రత్యేకమైన కానీ సంబంధిత ప్రచారాన్ని పూర్తి చేయడానికి కాంటేజియస్ ఇంటర్వ్యూ అంచనా వేయబడింది. ఆ ఆపరేషన్‌లో ఉత్తర కొరియా ఐటీ కార్మికులు దొంగిలించబడిన లేదా కల్పిత గుర్తింపులతో అనధికార ఉపాధిని పొందడం జరుగుతుంది, ప్రధానంగా ఆదాయాన్ని సంపాదించడానికి మరియు గూఢచర్యం నిర్వహించడానికి. వేజ్‌మోల్ 2017 నుండి చురుకుగా ఉంది మరియు ఒక ప్రత్యేకమైన క్లస్టర్‌గా ట్రాక్ చేయబడినప్పటికీ, పరిశోధకులు గుర్తించదగిన వ్యూహాత్మక మరియు మౌలిక సదుపాయాల అతివ్యాప్తులను కనుగొన్నారు.

గమనించిన లింక్‌లలో పర్పుల్‌బ్రావో ఆపరేటర్లు ఉత్తర కొరియా ఐటీ కార్మికులతో అనుగుణంగా ప్రవర్తనను ప్రదర్శించడం, పర్పుల్‌బ్రావో మౌలిక సదుపాయాలతో కమ్యూనికేట్ చేసే తెలిసిన ఐటీ కార్మికుల కార్యకలాపాలకు సంబంధించిన రష్యన్ ఐపీ చిరునామాలు మరియు రెండు క్లస్టర్‌లతో అనుబంధించబడిన షేర్డ్ ఆస్ట్రిల్ VPN నోడ్‌లు ఉన్నాయి.

సరఫరా-గొలుసు మరియు సంస్థ ప్రమాదాన్ని పెంచడం

ముఖ్యంగా ఆందోళనకరమైన ధోరణి ఏమిటంటే, యజమాని యాజమాన్యంలోని వ్యవస్థలపై కోడింగ్ అసెస్‌మెంట్‌లను పూర్తి చేయడానికి అభ్యర్థులను ఆకర్షించడానికి కల్పిత ఉద్యోగ ఆఫర్‌లను ఉపయోగించడం, నియామక కుంభకోణాన్ని ఎంటర్‌ప్రైజ్ చొరబాటు వెక్టర్‌గా సమర్థవంతంగా మారుస్తుంది. బాగా ప్రచారం చేయబడిన IT కార్మికుల ఉపాధి పథకాల వెలుపల కూడా సాఫ్ట్‌వేర్ మరియు IT సరఫరా గొలుసు చొరబాటుకు చాలా అవకాశం ఉందని ఇది నిరూపిస్తుంది.

లక్ష్యంగా చేసుకున్న అనేక సంస్థలు పెద్ద కస్టమర్ స్థావరాలను ప్రచారం చేస్తాయి, ఇవి దిగువ సరఫరా-గొలుసు రాజీకి సంభావ్యతను పెంచుతాయి. ఉత్తర కొరియా ఐటీ ఉద్యోగుల ముప్పు విస్తృత దృష్టిని ఆకర్షించినప్పటికీ, సరఫరా-గొలుసు చొరబాటు యొక్క పర్పుల్‌బ్రావో మోడల్ సమాన ప్రాధాన్యతను కోరుతుందని భద్రతా పరిశోధకులు హెచ్చరిస్తున్నారు. ఉత్తర కొరియా ముప్పు శక్తులను గుర్తించడానికి, అంతరాయం కలిగించడానికి మరియు సున్నితమైన డేటా బహిర్గతం కాకుండా నిరోధించడానికి నియామక ప్రక్రియలు, డెవలపర్ పర్యావరణ నియంత్రణలు మరియు మూడవ పక్ష రిస్క్ నిర్వహణను బలోపేతం చేయాలని సంస్థలను కోరారు.