Kampanya ng Pag-atake ng PurpleBravo
Natukoy ng mga analyst ng threat intelligence ang 3,136 na indibidwal na IP address na naka-link sa mga malamang na target ng kampanyang Contagious Interview. Pinaniniwalaang kinasasangkutan ng operasyon ang 20 potensyal na organisasyon ng biktima na tumatakbo sa iba't ibang larangan ng artificial intelligence, cryptocurrency, serbisyong pinansyal, serbisyong IT, marketing, at pagbuo ng software. Ang mga naapektuhang entidad ay sumasaklaw sa Europa, Timog Asya, Gitnang Silangan, at Gitnang Amerika, na nagbibigay-diin sa pandaigdigang saklaw ng aktibidad.
Ang mga IP address, na karamihan ay nakapokus sa Timog Asya at Hilagang Amerika, ay tinatayang na-target sa pagitan ng Agosto 2024 at Setyembre 2025. Ang mga apektadong kumpanya ay naiulat na nakabase sa Belgium, Bulgaria, Costa Rica, India, Italy, Netherlands, Pakistan, Romania, United Arab Emirates, at Vietnam.
Talaan ng mga Nilalaman
PurpleBravo: Isang Masaganang Kumpol ng Banta sa Hilagang Korea
Ang aktibidad ay iniuugnay sa isang kumpol na may kaugnayan sa Hilagang Korea na sinusubaybayan bilang PurpleBravo, na unang naitala noong huling bahagi ng 2023. Ang grupong ito ay kilala sa buong komunidad ng seguridad sa ilalim ng maraming designasyon, na sumasalamin sa malawak na pagsubaybay sa industriya:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Sikat na Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi, at WaterPlum
Nagpakita ang PurpleBravo ng patuloy na pamumuhunan sa pangmatagalang imprastraktura, kalakalan sa social engineering, at pagbuo ng malware, na naaayon sa mga layuning pinaghalo ang cyber espionage at pagnanakaw sa pananalapi.
Paggamit sa Proseso ng Pagkuha ng mga Tao at Ekosistema ng mga Nag-develop
Ang mga kamakailang natuklasan ay kasunod ng pagbubunyag ng isang malaking ebolusyon sa kampanya ng Contagious Interview, kung saan ginagamit ng mga kalaban ang mga malisyosong proyekto ng Microsoft Visual Studio Code upang ipamahagi ang mga backdoor. Inaabuso ng taktikang ito ang mga pinagkakatiwalaang tool at daloy ng trabaho ng mga developer, na nagpapataas ng posibilidad ng matagumpay na kompromiso.
Natukoy ng mga mananaliksik ang mga mapanlinlang na persona sa LinkedIn na nagpapanggap na mga developer at recruiter, na nagsasabing nagpapatakbo mula sa Odesa, Ukraine, kasama ang mga malisyosong repositoryo ng GitHub na idinisenyo upang mamahagi ng malware tulad ng BeaverTail. Sa ilang mga insidente, naiulat na nagpatupad ang mga kandidatong naghahanap ng trabaho ng malisyosong code sa mga device na inisyu ng mga korporasyon, na nagpalawak ng kompromiso lampas sa mga indibidwal at direkta sa mga kapaligiran ng negosyo.
Malware Arsenal at Imprastraktura ng Command
Nagpapatakbo ang PurpleBravo ng magkakahiwalay na command-and-control infrastructures upang suportahan ang maraming pamilya ng malware. Kabilang dito ang BeaverTail, isang infostealer at loader na nakabatay sa JavaScript, at ang GolangGhost (tinatawag ding FlexibleFerret o WeaselStore), isang Go-based backdoor na hango sa open-source na proyektong HackBrowserData.
Ang mga C2 server ng grupo ay ipinamamahagi sa 17 hosting provider at pinangangasiwaan sa pamamagitan ng Astrill VPN, kung saan ang aktibidad sa pamamahala ay nasusubaybayan sa mga saklaw ng IP sa China. Ang paggamit ng Astrill VPN ay paulit-ulit na naidokumento sa mga nakaraang operasyon sa cyber ng Hilagang Korea, na nagpapatibay sa kumpiyansa sa attribution.
Pagtatagpo sa Banta ng mga Manggagawa sa IT na 'Wagemole'
Ang Contagious Interview ay tinasa upang umakma sa isang hiwalay ngunit kaugnay na kampanya na kilala bilang Wagemole (PurpleDelta). Ang operasyong iyon ay kinasasangkutan ng mga manggagawang IT sa Hilagang Korea na kumukuha ng hindi awtorisadong trabaho sa ilalim ng mga ninakaw o gawa-gawang pagkakakilanlan, pangunahin upang kumita ng kita at magsagawa ng paniniktik. Bagama't aktibo ang Wagemole mula pa noong 2017 at sinusubaybayan bilang isang natatanging kumpol, natuklasan ng mga imbestigador ang mga kapansin-pansing pagsasanib sa taktika at imprastraktura.
Kabilang sa mga naobserbahang ugnayan ang mga operator ng PurpleBravo na nagpapakita ng pag-uugali na naaayon sa mga manggagawang IT sa Hilagang Korea, mga IP address ng Russia na nakatali sa kilalang aktibidad ng manggagawang IT na nakikipag-ugnayan sa imprastraktura ng PurpleBravo, at mga ibinahaging Astrill VPN node na nauugnay sa parehong cluster.
Pagtaas ng Panganib sa Supply-Chain at Enterprise
Isang partikular na nakababahalang kalakaran ang paggamit ng mga kathang-isip na alok ng trabaho upang akitin ang mga kandidato na kumpletuhin ang mga coding assessment sa mga sistemang pag-aari ng employer, na epektibong ginagawang isang vector ng panghihimasok sa negosyo ang isang recruitment scam. Ipinapakita nito na ang supply chain ng software at IT ay lubos na madaling kapitan ng pagpasok nang walang pahintulot, kahit na sa labas ng mga kilalang programa sa pag-empleyo ng mga IT worker.
Marami sa mga target na organisasyon ang nag-aanunsyo ng malalaking base ng customer, na nagpapalakas sa potensyal para sa downstream supply-chain compromise. Nagbabala ang mga mananaliksik sa seguridad na, habang ang banta ng mga manggagawa sa IT sa Hilagang Korea ay nakatanggap ng malawak na atensyon, ang modelo ng PurpleBravo ng supply-chain infiltration ay nangangailangan ng pantay na prayoridad. Hinihimok ang mga organisasyon na palakasin ang mga proseso ng pagkuha ng empleyado, mga kontrol sa kapaligiran ng developer, at pamamahala ng peligro ng ikatlong partido upang matukoy, magambala, at maiwasan ang pagkakalantad ng sensitibong data sa mga aktor ng banta sa Hilagang Korea.
