Связанная с Северной Кореей хакерская группа PurpleBravo нацелилась на различные организации, особенно в секторе криптовалют. В её мишени оказались маркетинговые фирмы, онлайн-казино и компании по разработке программного обеспечения для блокчейна. Эта группа действует в рамках более широкой стратегии, использующей удаленную рабочую среду, заказывая мошеннический ИТ-персонал для получения доходов для северокорейского режима.
Методы работы и схемы
Оперативники PurpleBravo занимают удаленные позиции в международных компаниях под вымышленными именами, что существенно нарушает международные санкции и создает серьезные риски для кибербезопасности. Основные угрозы включают:
- Мошенничество
- Кражу данных
- Срыв бизнес-операций
Тактика группы связана с масштабными мошенническими операциями, в которые вовлечены по меньшей мере семь подставных компаний, расположенных в Китае. Эти компании представляют себя как законные ИТ-фирмы, применяя изощренные методы обмана, что затрудняет их обнаружение и улучшает интеграцию в глобальные цепочки поставок ИТ.
Специализация на киберугрозах
Деятельность PurpleBravo тесно связана с кампанией «Заразительное интервью», нацеленной на разработчиков программного обеспечения, особенно в криптовалютной и технологической отраслях. В их арсенале присутствуют следующие вредоносные программы:
- BeaverTail: инфокрад, предназначенный для сбора конфиденциальной информации, прежде всего связанной с криптовалютой.
- InvisibleFerret: кроссплатформенный бэкдор, обеспечивающий постоянный доступ и эксфильтрацию данных.
- OtterCookie: используется для установления командно-контрольного соединения и выполнения команд оболочки.
Поведение этих вредоносных программ критически важно для понимания их угроз. Например, BeaverTail изначально распространялся через пакеты NPM и нацелен на несколько операционных систем, собирая конфиденциальные данные о криптовалютных кошельках.
Юридические последствия
В обвинительном заключении Министерства юстиции США от января 2025 года подчеркивался масштабный характер операций PurpleBravo. Двум гражданам Северной Кореи и трем посредникам были предъявлены обвинения за участие в схеме удаленной работы, нацеленной на более чем 64 американские компании, которая принесла значительную прибыль в размере не менее 866 255 долларов.
Эти факты не только иллюстрируют масштабы финансовой эксплуатации, но и риски, связанные с наймом северокорейских агентов, которые могут привести к серьезным юридическим последствиям для компаний из-за нарушения санкций.
Рекомендации по безопасности
Деятельность PurpleBravo вызывает опасения относительно безопасности отраслей, выходящих за рамки криптовалют, так как применяемая тактика может затронуть различные секторы, включая финтех, искусственный интеллект и оборонные контракты. Для противодействия этим угрозам организациям рекомендуется:
- Внедрить усовершенствованные процессы проверки личности;
- Ввести строгие правила приема на работу;
- Регулярно проводить оценку безопасности сетевой инфраструктуры.
Общая тенденция указывает на то, что по мере роста удаленной работы, кибероперации в Северной Корее, вероятно, будут становиться все более сложными и целенаправленными. Это потребует бдительного сотрудничества между предприятиями, правительствами и агентствами по кибербезопасности для выявления сложных схем и снижения рисков проникновения и утечки данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Группировка PurpleBravo: угроза кибербезопасности через удаленную работу".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
