North Korean PurpleBravo Campaign Targeted 3,136 IP Addresses via Fake Job Interviews

กลุ่มแฮกเกอร์ PurpleBravo จากเกาหลีเหนือได้พุ่งเป้าโจมตี IP Address กว่า 3,136 แห่ง และองค์กรเป้าหมาย 20 แห่ง โดยใช้กลวิธีสัมภาษณ์งานปลอมและโปรเจกต์ Visual Studio Code (VS Code) ที่เป็นอันตราย แคมเปญนี้มุ่งเน้นไปที่ภาคส่วน AI, คริปโตเคอร์เรนซี, บริการทางการเงิน, บริการด้าน IT, การตลาด และการพัฒนาซอฟต์แวร์ในยุโรป เอเชียใต้ ตะวันออกกลาง และอเมริกากลาง แฮกเกอร์ใช้มัลแวร์ BeaverTail (Infostealer/Loader ที่ใช้ JavaScript) และ GolangGhost (Backdoor ที่ใช้ Go ซึ่งพัฒนาจากเครื่องมือโอเพนซอร์ส HackBrowserData) โดยเซิร์ฟเวอร์ C2 ถูกบริหารจัดการผ่าน Astrill VPN จากช่วง IP ในประเทศจีน บทความเน้นย้ำถึงความเสี่ยงที่เกิดจากการที่ผู้สมัครงานรันโค้ดที่เป็นอันตรายบนอุปกรณ์ของบริษัท

Severity: วิกฤต

System Impact:

• IP Address (3,136 แห่ง)
• องค์กรธุรกิจ (20 แห่งในภาคส่วน AI, คริปโตเคอร์เรนซี, บริการทางการเงิน, บริการด้าน IT, การตลาด, และการพัฒนาซอฟต์แวร์)
• แพลตฟอร์มการพัฒนา (Visual Studio Code, GitHub)
• อุปกรณ์ขององค์กร (โดยผู้สมัครงานที่ตกเป็นเหยื่อ)
• ระบบ Command and Control (C2) ของมัลแวร์

Technical Attack Steps:

1. สร้างตัวตนปลอมบน LinkedIn: แฮกเกอร์สร้างโปรไฟล์ปลอมเป็นนักพัฒนาหรือผู้สรรหาบุคลากรพร้อมข้อเสนอการสัมภาษณ์งาน
2. หลอกลวงผ่านการสัมภาษณ์งาน: ผู้สมัครงานจะได้รับข้อเสนอสัมภาษณ์งานปลอม
3. ส่งมอบมัลแวร์ผ่านโปรเจกต์ VS Code: ผู้สมัครงานถูกชักจูงให้รันโปรเจกต์ Visual Studio Code ที่มีโค้ดอันตราย ซึ่งมักโฮสต์อยู่บน GitHub
4. การดำเนินการบนอุปกรณ์ขององค์กร: ผู้สมัครงานบางรายรันโค้ดอันตรายดังกล่าวบนอุปกรณ์ที่บริษัทออกให้ ทำให้เกิดการติดมัลแวร์ในเครือข่ายขององค์กร
5. ติดตั้งมัลแวร์: มัลแวร์ BeaverTail และ GolangGhost ถูกติดตั้งบนอุปกรณ์ที่ถูกบุกรุก
6. การสื่อสาร Command and Control (C2): มัลแวร์ที่ติดตั้งจะสื่อสารกับเซิร์ฟเวอร์ C2 ซึ่งบริหารจัดการผ่าน Astrill VPN และมีที่ตั้ง IP ในประเทศจีน

Recommendations:

Short Term:

• อบรมพนักงานและผู้สมัครงาน: ให้ความรู้เกี่ยวกับภัยคุกคามจากการสัมภาษณ์งานปลอมและการรันโค้ดที่ไม่รู้จักบนอุปกรณ์ของบริษัท
• นโยบายการรันโค้ด: ห้ามรันโค้ดจากบุคคลที่สามที่ไม่ได้รับการตรวจสอบบนอุปกรณ์ขององค์กรอย่างเด็ดขาด
• ตรวจสอบทราฟฟิกเครือข่าย: เฝ้าระวังการเชื่อมต่อกับเซิร์ฟเวอร์ C2 ที่เป็นที่รู้จัก โดยเฉพาะที่เกี่ยวข้องกับ Astrill VPN หรือช่วง IP ที่น่าสงสัย
• บล็อก IoC ที่รู้จัก: สแกนและบล็อก Indicators of Compromise (IoCs) ที่เกี่ยวข้องกับมัลแวร์ BeaverTail และ GolangGhost

Long Term:

• เพิ่มการรับรู้ด้านความปลอดภัย: จัดการฝึกอบรมการรับรู้ด้านความปลอดภัยอย่างต่อเนื่อง โดยเน้นกลวิธี Social Engineering
• ใช้งาน EDR: ติดตั้งและใช้โซลูชัน Endpoint Detection and Response (EDR) ที่แข็งแกร่ง
• บังคับใช้การ White-listing แอปพลิเคชันและสิทธิ์ขั้นต่ำ: ควบคุมการทำงานของแอปพลิเคชันและจำกัดสิทธิ์การเข้าถึงของผู้ใช้
• เสริมสร้างความปลอดภัยใน Supply Chain: ปรับปรุงมาตรการรักษาความปลอดภัยในห่วงโซ่อุปทาน โดยเฉพาะสำหรับบริษัทที่จ้างงานภายนอก
• เกตเวย์ความปลอดภัยอีเมล/เว็บ: ใช้งานเกตเวย์ความปลอดภัยอีเมลและเว็บที่แข็งแกร่งเพื่อตรวจจับและบล็อกลิงก์และไฟล์แนบที่เป็นอันตราย
• ใช้ Threat Intelligence: ใช้ข้อมูล Threat Intelligence เพื่อป้องกันภัยคุกคามจากกลุ่ม PurpleBravo อย่างเชิงรุก
• พิจารณาสถาปัตยกรรม Zero Trust: นำหลักการ Zero Trust มาใช้เพื่อจำกัดการเข้าถึงและลดความเสี่ยง

Source: https://thehackernews.com/2026/01/north-korean-purplebravo-campaign.html