แคมเปญโจมตี PurpleBravo
นักวิเคราะห์ข่าวกรองภัยคุกคามได้ระบุที่อยู่ IP จำนวน 3,136 รายการที่เชื่อมโยงกับเป้าหมายที่เป็นไปได้ของแคมเปญ Contagious Interview เชื่อว่าปฏิบัติการนี้เกี่ยวข้องกับองค์กรเป้าหมาย 20 แห่งที่ดำเนินธุรกิจในด้านปัญญาประดิษฐ์ สกุลเงินดิจิทัล บริการทางการเงิน บริการด้านไอที การตลาด และการพัฒนาซอฟต์แวร์ หน่วยงานที่ได้รับผลกระทบกระจายอยู่ในยุโรป เอเชียใต้ ตะวันออกกลาง และอเมริกากลาง ซึ่งเน้นย้ำถึงขอบเขตระดับโลกของกิจกรรมนี้
คาดว่าที่อยู่ IP เหล่านี้ ซึ่งส่วนใหญ่กระจุกตัวอยู่ในเอเชียใต้และอเมริกาเหนือ ถูกโจมตีระหว่างเดือนสิงหาคม 2567 ถึงกันยายน 2568 บริษัทที่ได้รับผลกระทบมีรายงานว่าตั้งอยู่ในเบลเยียม บัลแกเรีย คอสตาริกา อินเดีย อิตาลี เนเธอร์แลนด์ ปากีสถาน โรมาเนีย สหรัฐอาหรับเอมิเรตส์ และเวียดนาม
สารบัญ
PurpleBravo: กลุ่มภัยคุกคามจากเกาหลีเหนือที่มีศักยภาพสูง
กิจกรรมดังกล่าวถูกระบุว่าเป็นของกลุ่มที่เชื่อมโยงกับเกาหลีเหนือ ซึ่งถูกติดตามในชื่อ PurpleBravo โดยมีการบันทึกข้อมูลครั้งแรกเมื่อปลายปี 2023 กลุ่มนี้เป็นที่รู้จักในแวดวงความมั่นคงภายใต้ชื่อเรียกหลายชื่อ ซึ่งสะท้อนให้เห็นถึงการติดตามอย่างกว้างขวางในอุตสาหกรรม:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, ชอลลิมาชื่อดัง, แก๊งกวิซิน, พุงซานผู้เหนียวแน่น, UNC5342, Void Dokkaebi และ WaterPlum
PurpleBravo ได้แสดงให้เห็นถึงการลงทุนอย่างต่อเนื่องในโครงสร้างพื้นฐานระยะยาว เทคนิคการหลอกลวงทางสังคม และการพัฒนาซอฟต์แวร์มัลแวร์ ซึ่งสอดคล้องกับเป้าหมายที่ผสมผสานการจารกรรมทางไซเบอร์และการโจรกรรมทางการเงิน
การแสวงหาประโยชน์จากกระบวนการสรรหาและระบบนิเวศของนักพัฒนา
ผลการค้นพบล่าสุดเกิดขึ้นหลังจากมีการเปิดเผยวิวัฒนาการครั้งสำคัญของแคมเปญ Contagious Interview ซึ่งผู้โจมตีใช้โปรเจกต์ Microsoft Visual Studio Code ที่เป็นอันตรายเป็นอาวุธในการเผยแพร่แบ็กดอร์ กลยุทธ์นี้เป็นการละเมิดเครื่องมือและเวิร์กโฟลว์ของนักพัฒนาที่ได้รับความไว้วางใจ ซึ่งเพิ่มโอกาสในการเจาะระบบได้สำเร็จ
นักวิจัยได้ระบุพบบัญชีผู้ใช้ปลอมบน LinkedIn ที่แอบอ้างเป็นนักพัฒนาซอฟต์แวร์และผู้สรรหาบุคลากร โดยอ้างว่าดำเนินงานจากเมืองโอเดสซา ประเทศยูเครน ควบคู่ไปกับคลังเก็บโค้ดที่เป็นอันตรายบน GitHub ซึ่งออกแบบมาเพื่อเผยแพร่โปรแกรมมัลแวร์ เช่น BeaverTail ในหลายกรณี ผู้สมัครงานได้ใช้โปรแกรมมัลแวร์บนอุปกรณ์ที่บริษัทจัดหาให้ ทำให้การโจมตีขยายวงกว้างออกไปจากระดับบุคคลไปสู่สภาพแวดล้อมขององค์กรโดยตรง
คลังมัลแวร์และโครงสร้างพื้นฐานการสั่งการ
PurpleBravo ดำเนินการโครงสร้างพื้นฐานการควบคุมและสั่งการที่แยกต่างหากเพื่อรองรับตระกูลมัลแวร์หลายตระกูล ซึ่งรวมถึง BeaverTail ซึ่งเป็นมัลแวร์ขโมยข้อมูลและโหลดข้อมูลที่ใช้ JavaScript และ GolangGhost (หรือที่รู้จักในชื่อ FlexibleFerret หรือ WeaselStore) ซึ่งเป็นแบ็กดอร์ที่ใช้ภาษา Go พัฒนามาจากโครงการโอเพนซอร์ส HackBrowserData
เซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ของกลุ่มนี้กระจายอยู่ทั่วผู้ให้บริการโฮสติ้ง 17 ราย และบริหารจัดการผ่าน VPN ของ Astrill โดยกิจกรรมการจัดการถูกติดตามไปยังช่วง IP ในประเทศจีน การใช้ VPN ของ Astrill ได้รับการบันทึกไว้ซ้ำแล้วซ้ำเล่าในปฏิบัติการโจมตีทางไซเบอร์ของเกาหลีเหนือในอดีต ซึ่งช่วยเสริมความมั่นใจในการระบุตัวผู้กระทำผิด
การบรรจบกันของภัยคุกคามจากแรงงานไอทีประเภท 'Wagemole'
ปฏิบัติการ Contagious Interview ถูกประเมินว่าสอดคล้องกับปฏิบัติการที่แยกต่างหากแต่เกี่ยวข้องกันที่รู้จักกันในชื่อ Wagemole (PurpleDelta) ปฏิบัติการดังกล่าวเกี่ยวข้องกับคนงานไอทีชาวเกาหลีเหนือที่หางานทำโดยไม่ได้รับอนุญาตโดยใช้เอกลักษณ์ที่ถูกขโมยหรือปลอมแปลงขึ้น โดยมีจุดประสงค์หลักเพื่อสร้างรายได้และทำการจารกรรม แม้ว่า Wagemole จะเริ่มดำเนินการมาตั้งแต่ปี 2017 และถูกติดตามในฐานะกลุ่มปฏิบัติการที่แยกต่างหาก แต่นักสืบได้ค้นพบความซ้ำซ้อนทางยุทธวิธีและโครงสร้างพื้นฐานที่น่าสนใจ
ตรวจพบความเชื่อมโยงต่างๆ ได้แก่ ผู้ปฏิบัติงานของ PurpleBravo ที่แสดงพฤติกรรมสอดคล้องกับพนักงานไอทีของเกาหลีเหนือ ที่อยู่ IP ของรัสเซียที่เชื่อมโยงกับกิจกรรมของพนักงานไอทีที่รู้จักซึ่งสื่อสารกับโครงสร้างพื้นฐานของ PurpleBravo และโหนด VPN ของ Astrill ที่ใช้ร่วมกันซึ่งเกี่ยวข้องกับทั้งสองคลัสเตอร์
ความเสี่ยงด้านห่วงโซ่อุปทานและองค์กรที่เพิ่มสูงขึ้น
แนวโน้มที่น่ากังวลเป็นพิเศษคือการใช้ข้อเสนองานปลอมเพื่อล่อลวงผู้สมัครให้ทำแบบประเมินการเขียนโค้ดบนระบบของบริษัท ซึ่งเป็นการเปลี่ยนกลโกงการรับสมัครงานให้กลายเป็นช่องทางในการบุกรุกองค์กรอย่างมีประสิทธิภาพ สิ่งนี้แสดงให้เห็นว่าห่วงโซ่อุปทานซอฟต์แวร์และไอทีมีความเสี่ยงสูงต่อการแทรกซึม แม้กระทั่งนอกเหนือจากโครงการจ้างงานด้านไอทีที่เป็นที่รู้จักกันดีก็ตาม
องค์กรเป้าหมายหลายแห่งโฆษณาว่ามีฐานลูกค้าขนาดใหญ่ ซึ่งเพิ่มโอกาสที่จะเกิดการบุกรุกในห่วงโซ่อุปทาน นักวิจัยด้านความปลอดภัยเตือนว่า แม้ภัยคุกคามจากพนักงานไอทีชาวเกาหลีเหนือจะได้รับความสนใจอย่างกว้างขวาง แต่รูปแบบการแทรกซึมห่วงโซ่อุปทานของ PurpleBravo ก็สมควรได้รับความสำคัญเท่าเทียมกัน องค์กรต่างๆ ควรเสริมสร้างกระบวนการสรรหาบุคลากร การควบคุมสภาพแวดล้อมของนักพัฒนา และการจัดการความเสี่ยงจากบุคคลภายนอก เพื่อตรวจจับ ขัดขวาง และป้องกันการรั่วไหลของข้อมูลสำคัญต่อผู้คุกคามชาวเกาหลีเหนือ
