Avrupa, Güney Asya, Orta Doğu ve Orta Amerika’da yapay zeka (AI), kripto para birimi, finansal hizmetler, BT hizmetleri, pazarlama ve yazılım geliştirme sektörlerini kapsayan 20 potansiyel kurban kuruluşun iddia edildiği kampanyada, Bulaşıcı Mülakat faaliyetinin olası hedefleri ile bağlantılı 3.136 kadar bireysel IP adresi belirlendi.
Yeni bulgular, Kuzey Kore tehdit faaliyet kümesini bu isim altında izleyen Recorded Future’ın Insikt Grubundan geliyor. MorBravo. İlk olarak 2023’ün sonlarında belgelenen kampanya aynı zamanda CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi ve WaterPlum olarak da biliniyor.
Çoğunlukla Güney Asya ve Kuzey Amerika’da yoğunlaşan 3.136 bireysel IP adresinin, Ağustos 2024’ten Eylül 2025’e kadar düşman tarafından hedef alındığı değerlendiriliyor. 20 mağdur şirketin Belçika, Bulgaristan, Kosta Rika, Hindistan, İtalya, Hollanda, Pakistan, Romanya, Birleşik Arap Emirlikleri (BAE) ve Vietnam’da olduğu söyleniyor.
Tehdit istihbarat firması The Hacker News ile paylaşılan yeni bir raporda, “Bazı durumlarda, iş arayan adayların kurumsal cihazlarda kötü amaçlı kod çalıştırarak bireysel hedefin ötesinde kurumsal bir etki yaratması muhtemeldir.” dedi.
Açıklama, Jamf Threat Labs’ın, saldırganların kötü amaçlı Microsoft Visual Studio Code (VS Code) projelerini bir arka kapıyı dağıtmak için bir saldırı vektörü olarak kötüye kullandığı Bulaşıcı Röportaj kampanyasının önemli bir yinelemesini ayrıntılarıyla açıklamasından bir gün sonra geldi; bu, siber casusluk ve finansal hırsızlıktan oluşan ikiz hedeflerine ulaşmak için güvenilir geliştirici iş akışlarından sürekli olarak yararlanmaya devam edildiğinin altını çizdi.
Mastercard’ın sahibi olduğu şirket, potansiyel olarak PurpleBravo ile ilişkili olan, geliştiriciler ve işe alım görevlileri gibi görünen ve Ukrayna’nın Odesa şehrinden olduklarını iddia eden dört LinkedIn kişisinin yanı sıra BeaverTail gibi bilinen kötü amaçlı yazılım ailelerini dağıtmak için tasarlanmış birkaç kötü amaçlı GitHub deposunu tespit ettiğini söyledi.
PurpleBravo’nun ayrıca BeaverTail için iki farklı komut ve kontrol (C2) sunucusu kümesini, bir JavaScript bilgi hırsızı ve yükleyicisini ve HackBrowserData açık kaynak aracını temel alan GolangGhost (diğer adıyla EsnekFerret veya WeaselStore) olarak bilinen Go tabanlı bir arka kapıyı yönettiği gözlemlendi.
17 farklı sağlayıcıda barındırılan C2 sunucuları Astrill VPN aracılığıyla ve Çin’deki IP aralıklarından yönetiliyor. Kuzey Koreli tehdit aktörlerinin siber saldırılarda Astrill VPN’i kullandığı yıllar geçtikçe belgelendi.
Bulaşıcı Röportajın, Hermit Kingdom aktörlerinden BT çalışanlarının ABD ve dünyanın diğer yerlerinde bulunan kuruluşlarda hem mali kazanç hem de casusluk amacıyla sahte veya çalıntı kimlikler altında izinsiz istihdam aradığı Wagemole (diğer adıyla PurpleDelta) olarak adlandırılan ikinci, ayrı bir kampanyayı tamamladığını belirtmekte fayda var.
İki küme farklı faaliyet grupları olarak ele alınsa da, BT çalışanı tehdidinin 2017’den bu yana devam etmesine rağmen aralarında önemli taktiksel ve altyapı örtüşmeleri var.
Recorded Future, “Bu, Kuzey Koreli BT çalışanlarının davranışlarıyla tutarlı aktivite sergileyen olası bir PurpleBravo operatörünü, PurpleBravo C2 sunucularıyla iletişim kuran Kuzey Koreli BT çalışanlarıyla bağlantılı Rusya’daki IP adreslerini ve PurpleDelta etkinliğiyle ilişkili aynı Astrill VPN IP adresinden gelen yönetim trafiğini içeriyor” dedi.
Daha da kötüsü, PurpleBravo’nun hayali iş teklifleriyle ulaştığı adayların, şirket tarafından verilen cihazlarda kodlama değerlendirmesine girdiği ve bu süreçte işverenlerini etkili bir şekilde tehlikeye attığı görüldü. Bu, BT yazılımı tedarik zincirinin, BT çalışanları dışındaki Kuzey Koreli düşmanların sızmasına karşı “aynı derecede savunmasız” olduğunu vurguluyor.
“Bunların birçoğu [potential victim] Şirket, kuruluşların geniş müşteri tabanlarının reklamını yaparak bu bölgelerde dış kaynak kullanan şirketler için ciddi bir tedarik zinciri riski oluşturduğunu belirtti. “Kuzey Kore BT çalışanlarının istihdam tehdidi geniş çapta duyurulmuş olsa da, PurpleBravo tedarik zinciri riski, kuruluşların Kuzey Koreli tehdit aktörlerine hassas veri sızıntısını hazırlayabilmesi, savunabilmesi ve önleyebilmesi için eşit derecede ilgiyi hak ediyor.”