網路分析：北韓工作者威脅與活動

關鍵章節標題列表

1. 執行摘要
2. 關鍵發現
3. 背景
4. 威脅分析
5. 緩解措施
6. 展望
7. 附錄A：PurpleBravo鑽石模型
8. 附錄B：入侵指標
9. 附錄C：MITRE ATT&CK技術
10. 附錄D：TAG-121掩護公司

文件簡介

在遠端工作日益常態化的時代，北韓政權正利用這一趨勢，透過欺詐性資訊技術（IT）僱傭為其創收。北韓IT工作者以虛假身份滲透國際公司，獲取遠端職位。這些行動不僅違反國際制裁，更構成嚴重的網路安全威脅，涉及欺詐、資料竊盜，並可能破壞商業運營。本報告基於Insikt Group（Recorded Future威脅研究部門）的研究，系統分析了這一新興威脅的運作模式、相關惡意活動叢集及其對全球供應鏈的深遠影響。

報告的核心是追蹤一個被稱為PurpleBravo（前身為威脅活動組120）的北韓關聯惡意叢集。該叢集與主要針對加密貨幣行業軟體開發者的傳染性面試活動存在重疊。PurpleBravo使用諸如BeaverTail（資訊竊取程式）、InvisibleFerret（跨平台Python後門）和OtterCookie（用於在受感染系統建立持久存取的工具）等惡意軟體。2024年10月至11月期間，PurpleBravo至少針對了加密貨幣領域的三個組織：一家做市公司、一家線上賭場和一家軟體開發公司。此外，該叢集還活躍於至少三個招聘網站、Telegram和GitHub，定期發布職位廣告並更新程式碼庫。

研究還揭示了北韓欺詐活動向其他領域的擴張，即建立模仿合法IT公司的掩護公司。報告識別出另一個獨立的活動叢集TAG-121，該叢集在中國運營著一個掩護公司網路。這些公司透過複製目標公司網站的大部分內容，假冒中國、印度、巴基斯坦、烏克蘭和美國的合法IT企業。Insikt Group已識別出至少七家此類疑似北韓關聯的掩護公司。這些實體增加了北韓行動者的可否認性，使檢測更加困難，並使其得以進一步嵌入全球IT供應鏈。

報告詳細分析了PurpleBravo的戰術、技術與程序（TTPs），包括其使用的惡意軟體家族功能、命令與控制（C2）伺服器基礎設施（主要使用Tier.Net等託管服務提供商），以及透過Astrill VPN進行管理的證據。基於Recorded Future網路情報，報告觀察到2024年9月至2025年2月13日期間至少七名疑似受害者，分佈在美國、阿聯酋、哥斯大黎加、印度、越南、土耳其和韓國等多個國家。

為應對此威脅，報告綜合了美國網路犯罪投訴中心（IC3）、美國財政部及韓國政府等多方建議，從身份驗證、背景調查、技術措施、財務預防、溝通實踐和組織政策等多個維度提出了詳盡的緩解措施。報告展望認為，隨著國際制裁持續收緊，北韓的網路行動預計將在規模和複雜性上持續增長。面對利用複雜手段規避傳統招聘流程的對手，企業和政府必須採取更嚴格的身份驗證、增強遠端工作安全並加強國際情報共享，以遏制這不斷擴大的威脅。