Chiến dịch tấn công PurpleBravo

Các nhà phân tích tình báo về mối đe dọa đã xác định được 3.136 địa chỉ IP riêng lẻ liên kết với các mục tiêu tiềm năng của chiến dịch "Phỏng vấn lây lan". Chiến dịch này được cho là liên quan đến 20 tổ chức nạn nhân tiềm năng hoạt động trong các lĩnh vực trí tuệ nhân tạo, tiền điện tử, dịch vụ tài chính, dịch vụ CNTT, tiếp thị và phát triển phần mềm. Các thực thể bị ảnh hưởng trải rộng khắp châu Âu, Nam Á, Trung Đông và Trung Mỹ, cho thấy phạm vi toàn cầu của hoạt động này.

Các địa chỉ IP, chủ yếu tập trung ở Nam Á và Bắc Mỹ, được đánh giá là mục tiêu tấn công trong khoảng thời gian từ tháng 8 năm 2024 đến tháng 9 năm 2025. Các công ty bị ảnh hưởng được cho là có trụ sở tại Bỉ, Bulgaria, Costa Rica, Ấn Độ, Ý, Hà Lan, Pakistan, Romania, Các Tiểu vương quốc Ả Rập Thống nhất và Việt Nam.

PurpleBravo: Một cụm mối đe dọa tiềm tàng từ Triều Tiên.

Hoạt động này được cho là xuất phát từ một nhóm tin tặc có liên hệ với Triều Tiên, được theo dõi với tên gọi PurpleBravo, lần đầu tiên được ghi nhận vào cuối năm 2023. Nhóm này được biết đến trong cộng đồng an ninh với nhiều tên gọi khác nhau, phản ánh sự theo dõi rộng rãi trong ngành:

CL-STA-0240, Deceptive Development, DEV#POPPER, Chollima nổi tiếng, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi và WaterPlum

PurpleBravo đã thể hiện sự đầu tư bền vững vào cơ sở hạ tầng dài hạn, kỹ thuật tấn công phi kỹ thuật (social engineering) và phát triển phần mềm độc hại, phù hợp với các mục tiêu kết hợp giữa hoạt động gián điệp mạng và trộm cắp tài chính.

Khai thác quy trình tuyển dụng và hệ sinh thái nhà phát triển

Những phát hiện gần đây xuất hiện sau khi tiết lộ một bước tiến lớn trong chiến dịch Contagious Interview, trong đó các đối thủ sử dụng các dự án Microsoft Visual Studio Code độc hại làm vũ khí để phát tán cửa hậu. Chiến thuật này lợi dụng các công cụ và quy trình làm việc đáng tin cậy của nhà phát triển, làm tăng khả năng xâm nhập thành công.

Các nhà nghiên cứu đã xác định được các tài khoản LinkedIn giả mạo đóng vai trò là nhà phát triển và nhà tuyển dụng, tuyên bố hoạt động từ Odesa, Ukraine, cùng với các kho lưu trữ GitHub độc hại được thiết kế để phát tán phần mềm độc hại như BeaverTail. Trong một số trường hợp, các ứng viên tìm việc được cho là đã thực thi mã độc trên các thiết bị do công ty cấp, mở rộng phạm vi xâm phạm ra ngoài phạm vi cá nhân và trực tiếp vào môi trường doanh nghiệp.

Kho vũ khí phần mềm độc hại và cơ sở hạ tầng chỉ huy

PurpleBravo vận hành các cơ sở hạ tầng điều khiển và giám sát riêng biệt để hỗ trợ nhiều họ phần mềm độc hại. Chúng bao gồm BeaverTail, một phần mềm đánh cắp thông tin và tải dữ liệu dựa trên JavaScript, và GolangGhost (cũng được theo dõi với tên FlexibleFerret hoặc WeaselStore), một phần mềm cửa hậu dựa trên Go được phát triển từ dự án mã nguồn mở HackBrowserData.

Các máy chủ C2 của nhóm này được phân bổ trên 17 nhà cung cấp dịch vụ lưu trữ và được quản lý thông qua Astrill VPN, với hoạt động quản lý được truy vết đến các dải địa chỉ IP ở Trung Quốc. Việc sử dụng Astrill VPN đã được ghi nhận nhiều lần trong các hoạt động tấn công mạng trước đây của Triều Tiên, củng cố thêm độ tin cậy trong việc xác định nguồn gốc.

Sự hội tụ với mối đe dọa từ “nhân viên IT làm thuê thời vụ”

Chiến dịch Contagious Interview được đánh giá là bổ sung cho một chiến dịch riêng biệt nhưng có liên quan được gọi là Wagemole (PurpleDelta). Chiến dịch này liên quan đến các nhân viên CNTT Triều Tiên tìm kiếm việc làm bất hợp pháp bằng cách sử dụng danh tính bị đánh cắp hoặc bịa đặt, chủ yếu để tạo ra doanh thu và tiến hành hoạt động gián điệp. Mặc dù Wagemole đã hoạt động từ năm 2017 và được theo dõi như một cụm riêng biệt, các nhà điều tra đã phát hiện ra những điểm trùng lặp đáng chú ý về chiến thuật và cơ sở hạ tầng.

Các mối liên hệ được quan sát bao gồm các nhà điều hành PurpleBravo thể hiện hành vi phù hợp với các nhân viên CNTT Triều Tiên, các địa chỉ IP của Nga liên quan đến hoạt động của các nhân viên CNTT đã biết khi giao tiếp với cơ sở hạ tầng PurpleBravo, và các nút VPN Astrill được chia sẻ liên kết với cả hai cụm máy chủ.

Rủi ro chuỗi cung ứng và doanh nghiệp ngày càng gia tăng

Một xu hướng đáng lo ngại đặc biệt là việc sử dụng các lời mời làm việc giả mạo để dụ dỗ ứng viên hoàn thành các bài kiểm tra lập trình trên hệ thống thuộc sở hữu của nhà tuyển dụng, biến một trò lừa đảo tuyển dụng thành một phương thức xâm nhập doanh nghiệp. Điều này cho thấy chuỗi cung ứng phần mềm và CNTT rất dễ bị xâm nhập, ngay cả bên ngoài các chương trình tuyển dụng nhân viên CNTT được công khai rộng rãi.

Nhiều tổ chức bị nhắm mục tiêu quảng cáo lượng khách hàng lớn, làm tăng nguy cơ bị xâm phạm chuỗi cung ứng. Các nhà nghiên cứu bảo mật cảnh báo rằng, trong khi mối đe dọa từ nhân viên CNTT Triều Tiên đã nhận được sự chú ý rộng rãi, thì mô hình xâm nhập chuỗi cung ứng PurpleBravo cũng cần được ưu tiên tương đương. Các tổ chức được khuyến khích tăng cường quy trình tuyển dụng, kiểm soát môi trường phát triển và quản lý rủi ro bên thứ ba để phát hiện, ngăn chặn và phòng ngừa việc dữ liệu nhạy cảm bị lộ cho các tác nhân đe dọa từ Triều Tiên.