PurpleBravo Saldırı Kampanyası
Tehdit istihbarat analistleri, Bulaşıcı Röportaj kampanyasının muhtemel hedefleriyle bağlantılı 3.136 ayrı IP adresini tespit etti. Operasyonun, yapay zeka, kripto para birimi, finansal hizmetler, BT hizmetleri, pazarlama ve yazılım geliştirme alanlarında faaliyet gösteren 20 potansiyel kurban kuruluşu kapsadığı düşünülüyor. Etkilenen kuruluşlar Avrupa, Güney Asya, Orta Doğu ve Orta Amerika'yı kapsayarak faaliyetin küresel kapsamını vurguluyor.
Ağırlıklı olarak Güney Asya ve Kuzey Amerika'da yoğunlaşan IP adreslerinin, Ağustos 2024 ile Eylül 2025 tarihleri arasında hedef alındığı tahmin ediliyor. Etkilenen şirketlerin Belçika, Bulgaristan, Kosta Rika, Hindistan, İtalya, Hollanda, Pakistan, Romanya, Birleşik Arap Emirlikleri ve Vietnam'da bulunduğu bildiriliyor.
İçindekiler
PurpleBravo: Kuzey Kore’nin Üretken Bir Tehdit Kümesi
Bu faaliyet, ilk olarak 2023'ün sonlarında belgelenen ve PurpleBravo olarak izlenen Kuzey Kore bağlantılı bir gruba atfediliyor. Bu grup, güvenlik camiasında geniş çaplı sektör takibini yansıtan çeşitli isimlerle biliniyor:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi ve WaterPlum
PurpleBravo, siber casusluk ve mali hırsızlığı birleştiren hedeflerle uyumlu olarak, uzun vadeli altyapıya, sosyal mühendislik yöntemlerine ve kötü amaçlı yazılım geliştirmeye yönelik sürekli yatırımlar sergiledi.
İşe Alım Sürecini ve Geliştirici Ekosistemini İstismar Etmek
Son bulgular, saldırganların kötü amaçlı Microsoft Visual Studio Code projelerini arka kapılar dağıtmak için silah olarak kullandığı Bulaşıcı Röportaj kampanyasında yaşanan büyük bir evrimin ortaya çıkmasının ardından geldi. Bu taktik, güvenilir geliştirici araçlarını ve iş akışlarını kötüye kullanarak başarılı bir saldırı olasılığını artırıyor.
Araştırmacılar, Ukrayna'nın Odessa kentinden faaliyet gösterdiklerini iddia eden, geliştirici ve işe alım uzmanı gibi davranan sahte LinkedIn profillerinin yanı sıra, BeaverTail gibi kötü amaçlı yazılımları dağıtmak üzere tasarlanmış zararlı GitHub depolarını tespit etti. Birkaç olayda, iş arayan adayların şirketler tarafından verilen cihazlarda zararlı kod çalıştırdığı ve böylece güvenlik açığının bireylerin ötesine geçerek doğrudan kurumsal ortamlara yayıldığı bildirildi.
Kötü Amaçlı Yazılım Cephaneliği ve Komuta Altyapısı
PurpleBravo, birden fazla kötü amaçlı yazılım ailesini desteklemek için ayrı komuta ve kontrol altyapıları işletmektedir. Bunlar arasında JavaScript tabanlı bir bilgi hırsızı ve yükleyici olan BeaverTail ve açık kaynaklı HackBrowserData projesinden türetilen Go tabanlı bir arka kapı olan GolangGhost (FlexibleFerret veya WeaselStore olarak da izlenmektedir) bulunmaktadır.
Grubun C2 sunucuları 17 farklı hosting sağlayıcısına dağıtılmış durumda ve Astrill VPN üzerinden yönetiliyor; yönetim faaliyetleri ise Çin'deki IP aralıklarına kadar takip edilebiliyor. Astrill VPN kullanımının daha önceki Kuzey Kore siber operasyonlarında da defalarca belgelenmiş olması, bu konudaki güvenilirliği artırıyor.
'Ücret Köstebek'i Olarak Bilinen Bilişim Çalışanı Tehdidiyle Yakınsama
Bulaşıcı Görüşme operasyonu, Wagemole (Mor Delta) olarak bilinen ayrı ancak bağlantılı bir kampanyayı tamamlayıcı nitelikte değerlendirilmektedir. Bu operasyon, Kuzey Koreli bilişim çalışanlarının öncelikle gelir elde etmek ve casusluk yapmak amacıyla çalıntı veya uydurulmuş kimlikler altında izinsiz iş bulmalarını içermektedir. Wagemole 2017'den beri aktif olmasına ve ayrı bir küme olarak izlenmesine rağmen, araştırmacılar önemli taktiksel ve altyapısal örtüşmeler ortaya çıkarmıştır.
Gözlemlenen bağlantılar arasında, Kuzey Koreli BT çalışanlarıyla tutarlı davranışlar sergileyen PurpleBravo operatörleri, PurpleBravo altyapısıyla iletişim kuran bilinen BT çalışanı faaliyetleriyle bağlantılı Rus IP adresleri ve her iki kümeyle ilişkili paylaşılan Astrill VPN düğümleri yer almaktadır.
Artan Tedarik Zinciri ve Kurumsal Risk
Özellikle endişe verici bir eğilim, adayları işverenlere ait sistemlerde kodlama değerlendirmelerini tamamlamaya ikna etmek için sahte iş tekliflerinin kullanılmasıdır; bu durum, işe alım dolandırıcılığını bir kurumsal sızma vektörüne dönüştürmektedir. Bu, yazılım ve BT tedarik zincirinin, kamuoyunda geniş yankı uyandıran BT çalışanı istihdam planlarının dışında bile, sızmaya karşı oldukça savunmasız olduğunu göstermektedir.
Hedef alınan kuruluşların çoğu geniş müşteri tabanlarına sahip olduklarını reklam ederek, tedarik zincirinin alt kademelerinde olası güvenlik ihlallerini artırıyor. Güvenlik araştırmacıları, Kuzey Koreli BT çalışanı tehdidinin geniş yankı uyandırmasına rağmen, PurpleBravo modeline dayalı tedarik zinciri sızma yönteminin de aynı önceliği hak ettiğini belirtiyor. Kuruluşların, Kuzey Koreli tehdit aktörlerine hassas verilerin ifşa edilmesini tespit etmek, engellemek ve önlemek için işe alım süreçlerini, geliştirici ortamı kontrollerini ve üçüncü taraf risk yönetimini güçlendirmeleri önemle tavsiye ediliyor.
