複数ライセンス割引見積
脅威データベース マルウェア PurpleBravo 攻撃キャンペーン

PurpleBravo 攻撃キャンペーン

マルウェア, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

脅威インテリジェンスアナリストは、「Contagious Interview」キャンペーンの標的とみられる3,136件のIPアドレスを特定しました。このキャンペーンには、人工知能、暗号通貨、金融サービス、ITサービス、マーケティング、ソフトウェア開発といった分野で活動する20の潜在的な被害組織が関与していると考えられています。影響を受けた組織はヨーロッパ、南アジア、中東、中米にまたがっており、活動の世界的な広がりを物語っています。

IPアドレスは主に南アジアと北米に集中しており、2024年8月から2025年9月の間に標的にされたと推定されています。影響を受けた企業は、ベルギー、ブルガリア、コスタリカ、インド、イタリア、オランダ、パキスタン、ルーマニア、アラブ首長国連邦、ベトナムに拠点を置いていると報告されています。

PurpleBravo: 北朝鮮の脅威が蔓延するクラスター

この活動は、2023年後半に初めて記録された「PurpleBravo」として追跡されている北朝鮮関連のクラスターによるものとされています。このグループは、セキュリティコミュニティ全体で複数の名称で知られており、業界全体での広範な追跡を反映しています。

CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、Gwisin Gang、Tenacious Pungsan、UNC5342、Void Tokkaebi、WaterPlum

PurpleBravo は、サイバースパイ活動と金銭窃盗を組み合わせた目的に沿って、長期的なインフラストラクチャ、ソーシャルエンジニアリングの手法、マルウェア開発への継続的な投資を実証してきました。

採用プロセスと開発者エコシステムの活用

最近の調査結果は、Contagious Interviewキャンペーンの大きな進化の暴露を受けて発表されたものです。このキャンペーンでは、攻撃者が悪意のあるMicrosoft Visual Studio Codeプロジェクトを武器化してバックドアを配布しています。この戦術は、信頼できる開発ツールとワークフローを悪用することで、侵入が成功する可能性を高めています。

研究者らは、ウクライナのオデッサを拠点とする、開発者やリクルーターを装ったLinkedInの偽アカウントと、BeaverTailなどのマルウェアを拡散するために設計された悪意のあるGitHubリポジトリを特定しました。複数のインシデントでは、求職者が企業支給のデバイス上で悪意のあるコードを実行し、個人にとどまらず企業環境に直接侵入したと報告されています。

マルウェアの武器庫とコマンドインフラストラクチャ

PurpleBravoは、複数のマルウェアファミリーをサポートするために、独立したコマンドアンドコントロール(C&C)インフラストラクチャを運用しています。これには、JavaScriptベースのインフォスティーラー兼ローダーであるBeaverTailや、オープンソースのHackBrowserDataプロジェクトから派生したGoベースのバックドアであるGolangGhost(FlexibleFerretまたはWeaselStoreとしても追跡されています)が含まれます。

同グループのC2サーバーは17のホスティングプロバイダーに分散されており、Astrill VPNを介して管理されています。管理活動は中国のIPアドレス範囲で追跡されています。Astrill VPNの使用は、北朝鮮による過去のサイバー攻撃で繰り返し記録されており、攻撃者の特定を強固なものにしています。

「賃金モグラ」によるIT労働者の脅威との収束

Contagious Interviewは、Wagemole(PurpleDelta)と呼ばれる別個の関連キャンペーンを補完するものとして評価されています。このキャンペーンでは、北朝鮮のIT労働者が盗難または偽造された身元を用いて不法就労し、主に収益の獲得とスパイ活動を行っています。Wagemoleは2017年から活動しており、独立したクラスターとして追跡されていますが、捜査官は戦術とインフラにおいて顕著な重複を発見しています。

観察されたリンクには、北朝鮮の IT ワーカーと一致する行動を示す PurpleBravo オペレーター、PurpleBravo インフラストラクチャと通信する既知の IT ワーカーのアクティビティに関連付けられたロシアの IP アドレス、および両方のクラスターに関連付けられた共有 Astrill VPN ノードが含まれます。

サプライチェーンと企業リスクの増大

特に懸念される傾向として、架空の求人広告を用いて求職者を誘い込み、雇用主所有のシステムでコーディングテストを受けさせるという手法が挙げられます。これは、採用詐欺を企業への侵入経路へと転換するものです。これは、広く知られているIT労働者の雇用スキーム以外でも、ソフトウェアおよびITサプライチェーンが侵入に対して非常に脆弱であることを示しています。

標的となった組織の多くは大規模な顧客基盤を誇っており、下流のサプライチェーンへの侵入の可能性を高めています。セキュリティ研究者は、北朝鮮のIT労働者への脅威が広く注目を集めている一方で、PurpleBravoによるサプライチェーン侵入モデルも同様に優先すべきだと警告しています。組織は、採用プロセス、開発環境の管理、サードパーティのリスク管理を強化し、北朝鮮の脅威アクターによる機密データの漏洩を検知、阻止、防止することが強く求められています。

トレンド

Search.quicksearchsafe.com

不正なウェブサイト, ブラウザハイジャッカー, 望ましくない可能性のあるプログラム
侵入的で信頼できないPUP(潜在的に望ましくないプログラム)からデバイスを保護することは、セキュリティ、プライバシー、そしてシステムの安定性を維持するために不可欠です。この種のソフトウェアは便利なツールを装うことが多いものの、その真の目的はブラウザの動作を操作し、データを収集し、ユーザーを信頼できないオンラインコンテンツにさらすことです。こうした活動に関連する例として、Search.quic...

ZenChainリワード詐欺

不正なウェブサイト
インターネットを閲覧する際に常に注意を払うことは、これまで以上に重要になっています。サイバー犯罪者は絶えず戦術を洗練させ、信頼、好奇心、そして金銭的利益を悪用することを目的とした、非常に説得力のあるウェブサイトやキャンペーンを作成しています。特に暗号通貨の世界では、たった一度の不注意なクリックが取り返しのつかない損失につながる可能性があります。 ZenChain Rewards詐欺:欺瞞的な...

Imorportabless.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
オンラインでの安全確保は、これまで以上に重要になっています。ユーザーは毎日、数え切れないほどのウェブサイト、広告、ポップアップに遭遇しますが、その多くは情報提供ではなく、欺瞞を目的としています。特に悪質なページは、好奇心、焦り、そして信頼感を悪用し、巧妙な操作を用いて訪問者に有害なブラウザ機能を有効にさせようとします。最も悪用される手口の一つは、偽のCAPTCHAチェックです。これはユーザー...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
44,651
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
34,258
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

問題
32,558
Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
読み込んでいます...