Кампанія атаки PurpleBravo
Аналітики з розвідки загроз виявили 3136 окремих IP-адрес, пов'язаних з ймовірними цілями кампанії Contagious Interview. Вважається, що в операції брали участь 20 потенційних організацій-жертв, які працюють у сферах штучного інтелекту, криптовалют, фінансових послуг, ІТ-послуг, маркетингу та розробки програмного забезпечення. Уражені організації охоплюють Європу, Південну Азію, Близький Схід та Центральну Америку, що підкреслює глобальний масштаб діяльності.
За оцінками, IP-адреси, здебільшого зосереджені в Південній Азії та Північній Америці, були атаковані в період з серпня 2024 року по вересень 2025 року. Повідомляється, що постраждалі компанії базуються в Бельгії, Болгарії, Коста-Риці, Індії, Італії, Нідерландах, Пакистані, Румунії, Об'єднаних Арабських Еміратах та В'єтнамі.
Зміст
PurpleBravo: Плідний північнокорейський кластер загроз
Цю активність приписують пов'язаному з Північною Кореєю кластеру, який відстежують як PurpleBravo, вперше задокументованому наприкінці 2023 року. Ця група відома у спільноті безпеки під кількома назвами, що відображає широке відстеження галузі:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi та WaterPlum
PurpleBravo продемонструвала стабільні інвестиції в довгострокову інфраструктуру, соціальну інженерію та розробку шкідливого програмного забезпечення, що відповідає цілям, що поєднують кібершпигунство та фінансові крадіжки.
Використання процесу найму та екосистеми розробників
Нещодавні висновки з'явилися після розкриття інформації про значний розвиток кампанії Contagious Interview, в якій зловмисники використовують шкідливі проекти Microsoft Visual Studio Code для поширення бекдорів. Ця тактика зловживає надійними інструментами розробників та робочими процесами, збільшуючи ймовірність успішного злому.
Дослідники виявили шахрайських персонажів LinkedIn, які видають себе за розробників та рекрутерів, стверджуючи, що працюють з Одеси, Україна, а також шкідливі репозиторії GitHub, призначені для розповсюдження шкідливого програмного забезпечення, такого як BeaverTail. У кількох випадках кандидати, які шукали роботу, виконували шкідливий код на корпоративних пристроях, поширюючи компрометацію не лише на окремих осіб, а безпосередньо на корпоративне середовище.
Арсенал шкідливого програмного забезпечення та інфраструктура командування
PurpleBravo керує окремими інфраструктурами командного управління для підтримки кількох сімейств шкідливих програм. До них належать BeaverTail, інформаційний викрадач та завантажувач на основі JavaScript, та GolangGhost (також відстежується як FlexibleFerret або WeaselStore), бекдор на основі Go, похідний від проекту з відкритим кодом HackBrowserData.
Сервери C2 групи розподілені серед 17 хостинг-провайдерів та адмініструються через Astrill VPN, а управлінська активність простежується до діапазонів IP-адрес у Китаї. Використання Astrill VPN неодноразово документувалося в попередніх північнокорейських кіберопераціях, що підсилює впевненість у атрибуції.
Конвергенція із загрозою «заробітної плати» від ІТ-працівників
Оцінюється, що кампанія «Contagious Interview» доповнює окрему, але пов'язану з нею кампанію під назвою Wagemole (PurpleDelta). У цій операції північнокорейські ІТ-працівники отримують несанкціоновану роботу під викраденими або вигаданими ідентифікаторами, головним чином для отримання доходу та здійснення шпигунства. Хоча Wagemole діє з 2017 року та відстежується як окремий кластер, слідчі виявили помітні тактичні та інфраструктурні перекриття.
Серед спостережуваних зв'язків є оператори PurpleBravo, що демонструють поведінку, подібну до північнокорейських ІТ-працівників, російські IP-адреси, пов'язані з відомою активністю ІТ-працівників, які взаємодіють з інфраструктурою PurpleBravo, та спільні вузли Astrill VPN, пов'язані з обома кластерами.
Зростання ризиків ланцюга поставок та підприємства
Особливо тривожною тенденцією є використання фіктивних пропозицій роботи, щоб заманити кандидатів до проходження оцінювання кодування на системах, що належать роботодавцям, що фактично перетворює шахрайство з наймом на вектор вторгнення в підприємство. Це демонструє, що ланцюжок поставок програмного забезпечення та ІТ дуже вразливий до проникнення, навіть поза межами добре розрекламованих схем працевлаштування ІТ-працівників.
Багато організацій, на які спрямовані атаки, рекламують великі клієнтські бази, що посилює потенціал для компрометації ланцюгів поставок. Дослідники безпеки попереджають, що хоча загроза з боку північнокорейських ІТ-працівників отримала широку увагу, модель проникнення в ланцюги поставок PurpleBravo заслуговує на такий самий пріоритет. Організаціям рекомендується посилити процеси найму, контроль середовища розробників та управління ризиками з боку третіх сторін, щоб виявляти, порушувати та запобігати розкриттю конфіденційних даних північнокорейським зловмисникам.
