PurpleBravo攻擊活動
威脅情報分析師已識別出 3136 個與「傳染性訪談」攻擊活動潛在目標相關的獨立 IP 位址。據信,此次攻擊涉及 20 家潛在受害機構,這些機構的業務涵蓋人工智慧、加密貨幣、金融服務、IT 服務、行銷和軟體開發等領域。受影響的實體遍佈歐洲、南亞、中東和中美洲,凸顯了這次攻擊活動的全球範圍。
這些IP位址主要集中在南亞和北美,根據評估,攻擊目標是在2024年8月至2025年9月期間發動的。據報道,受影響的公司位於比利時、保加利亞、哥斯大黎加、印度、義大利、荷蘭、巴基斯坦、羅馬尼亞、阿拉伯聯合大公國和越南。
目錄
PurpleBravo:一個活躍的朝鮮威脅集群
該活動被歸因於一個名為 PurpleBravo 的與北韓有關的組織,該組織最早在 2023 年底被發現。該組織在安全界擁有多個名稱,反映出業界對其的廣泛追蹤:
CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、Gwisin Gang、Tenacious Pungsan、UNC5342、Void Dokkaebi 和 WaterPlum
PurpleBravo 已證明其在長期基礎設施、社會工程技術和惡意軟體開發方面持續投入,這與網路間諜活動和金融盜竊相結合的目標相一致。
充分利用招募流程和開發者生態系統
最新研究揭示了「傳染性訪談」(Contagious Interview)攻擊活動的重大演變,攻擊者利用惡意 Microsoft Visual Studio Code 專案來傳播後門。這種策略濫用了受信任的開發者工具和工作流程,大大增加了入侵成功的可能性。
研究人員發現,一些冒充開發人員和招募人員的虛假LinkedIn帳號聲稱在烏克蘭敖德薩運營,同時也存在惡意GitHub程式碼庫,用於傳播BeaverTail等惡意軟體。據報道,在一些事件中,求職者在公司配發的設備上執行了惡意程式碼,導致攻擊範圍從個人擴展到企業環境。
惡意軟體庫和指揮基礎設施
PurpleBravo 經營獨立的命令與控制基礎設施,以支援多個惡意軟體家族。這些家族包括 BeaverTail(一個基於 JavaScript 的資訊竊取和載入程式)和 GolangGhost(也稱為 FlexibleFerret 或 WeaselStore,一個基於 Go 語言的後門程序,源自開源的 HackBrowserData 專案)。
該組織的C2伺服器分佈在17家託管服務商處,並透過Astrill VPN進行管理,其管理活動可追溯至中國境內的IP位址段。先前北韓的網路行動中曾多次記錄到使用Astrill VPN,這進一步增強了歸因的可靠性。
與「工賊」IT工作者威脅的融合
經評估,「傳染性訪談」行動與另一項名為「Wagemole」(PurpleDelta)的獨立但相關的行動相輔相成。 「Wagemole」行動中,北韓IT人員使用盜用或偽造的身份非法就業,主要目的是牟利和從事間諜活動。儘管「Wagemole」行動自2017年以來一直活躍,並被視為一個獨立的犯罪集群,但調查人員發現,該行動與「傳染性訪談」行動在策略和基礎設施方面存在顯著的重疊。
觀察到的關聯包括 PurpleBravo 操作員表現出與北韓 IT 工作人員一致的行為、與 PurpleBravo 基礎設施通訊的已知 IT 工作人員活動相關的俄羅斯 IP 位址,以及與這兩個集群關聯的共享 Astrill VPN 節點。
供應鏈和企業風險不斷升級
尤其令人擔憂的是,不法分子利用虛假招聘資訊誘騙求職者在雇主擁有的系統上完成編碼測試,這實際上是將招聘騙局轉化為企業入侵途徑。這表明,即使在廣為人知的IT從業人員招募計畫之外,軟體和IT供應鏈也極易受到滲透。
許多受攻擊的目標組織都宣稱擁有龐大的客戶群,這加劇了下游供應鏈遭受攻擊的可能性。安全研究人員警告說,雖然北韓IT從業人員的威脅已引起廣泛關注,但PurpleBravo的供應鏈滲透模式同樣值得重視。各組織應加強招募流程、開發人員環境控制和第三方風險管理,以偵測、阻止和防止敏感資料外洩給北韓威脅行為者。
