PurpleBravo-aanvalscampagne
Analisten op het gebied van cyberdreigingen hebben 3.136 individuele IP-adressen geïdentificeerd die mogelijk doelwit zijn van de campagne 'Contagious Interview'. De operatie zou 20 potentiële slachtofferorganisaties betreffen die actief zijn in sectoren zoals kunstmatige intelligentie, cryptocurrency, financiële dienstverlening, IT-diensten, marketing en softwareontwikkeling. De getroffen entiteiten bevinden zich in Europa, Zuid-Azië, het Midden-Oosten en Centraal-Amerika, wat de wereldwijde reikwijdte van de activiteit onderstreept.
De IP-adressen, die zich voornamelijk in Zuid-Azië en Noord-Amerika bevinden, zouden tussen augustus 2024 en september 2025 het doelwit zijn geweest van aanvallen. De getroffen bedrijven zouden gevestigd zijn in België, Bulgarije, Costa Rica, India, Italië, Nederland, Pakistan, Roemenië, de Verenigde Arabische Emiraten en Vietnam.
Inhoudsopgave
PurpleBravo: Een omvangrijke Noord-Koreaanse dreigingscluster
De activiteit wordt toegeschreven aan een aan Noord-Korea gelieerde groep die bekendstaat als PurpleBravo en die eind 2023 voor het eerst werd gedocumenteerd. Deze groep is binnen de beveiligingsgemeenschap onder verschillende benamingen bekend, wat wijst op een brede monitoring door de industrie.
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi en WaterPlum
PurpleBravo heeft blijk gegeven van aanhoudende investeringen in langetermijninfrastructuur, social engineering-technieken en malware-ontwikkeling, waarmee het bedrijf zijn doelstellingen nastreeft die cyberespionage en financiële diefstal combineren.
Het benutten van het wervingsproces en het ontwikkelaarsecosysteem.
Recente bevindingen volgen op de onthulling van een belangrijke ontwikkeling in de Contagious Interview-campagne, waarbij tegenstanders kwaadaardige Microsoft Visual Studio Code-projecten gebruiken om backdoors te verspreiden. Deze tactiek misbruikt vertrouwde ontwikkelaarstools en -workflows, waardoor de kans op een succesvolle inbreuk toeneemt.
Onderzoekers hebben frauduleuze LinkedIn-profielen ontdekt die zich voordoen als ontwikkelaars en recruiters en beweren vanuit Odessa, Oekraïne, te opereren. Daarnaast zijn er kwaadaardige GitHub-repositories gebruikt om malware zoals BeaverTail te verspreiden. In verschillende gevallen zouden werkzoekenden kwaadaardige code hebben uitgevoerd op apparaten die door bedrijven waren verstrekt, waardoor de inbreuk zich niet alleen tot individuen uitstrekte, maar ook tot bedrijfsomgevingen.
Malware-arsenaal en commando-infrastructuur
PurpleBravo beheert afzonderlijke command-and-control-infrastructuren ter ondersteuning van meerdere malwarefamilies. Deze omvatten BeaverTail, een op JavaScript gebaseerde infostealer en loader, en GolangGhost (ook bekend als FlexibleFerret of WeaselStore), een op Go gebaseerde backdoor afgeleid van het open-source HackBrowserData-project.
De C2-servers van de groep zijn verdeeld over 17 hostingproviders en worden beheerd via Astrill VPN, waarbij de beheeractiviteiten herleidbaar zijn tot IP-adressen in China. Het gebruik van Astrill VPN is herhaaldelijk gedocumenteerd bij eerdere Noord-Koreaanse cyberaanvallen, wat het vertrouwen in de toewijzing van de server versterkt.
Convergentie met de dreiging van IT-medewerkers die als loonmol fungeren.
Contagious Interview wordt gezien als een aanvulling op een aparte, maar verwante campagne genaamd Wagemole (PurpleDelta). Bij die operatie nemen Noord-Koreaanse IT-medewerkers onbevoegd werk aan onder gestolen of vervalste identiteiten, voornamelijk om inkomsten te genereren en spionageactiviteiten uit te voeren. Hoewel Wagemole al sinds 2017 actief is en als een aparte groep wordt gevolgd, hebben onderzoekers opmerkelijke tactische en infrastructurele overlappingen ontdekt.
De waargenomen verbanden omvatten PurpleBravo-operators die gedrag vertonen dat consistent is met Noord-Koreaanse IT-medewerkers, Russische IP-adressen die gekoppeld zijn aan bekende activiteiten van IT-medewerkers die communiceren met de PurpleBravo-infrastructuur, en gedeelde Astrill VPN-nodes die aan beide clusters zijn gekoppeld.
Toenemende risico’s in de toeleveringsketen en voor de onderneming
Een bijzonder zorgwekkende trend is het gebruik van fictieve vacatures om kandidaten ertoe te verleiden programmeeropdrachten uit te voeren op systemen van werkgevers. Hierdoor verandert een wervingsfraude in feite in een methode om bedrijfssystemen te infiltreren. Dit toont aan dat de software- en IT-toeleveringsketen zeer kwetsbaar is voor infiltratie, zelfs buiten de veelbesproken regelingen voor het inhuren van IT-medewerkers.
Veel van de doelwitten adverteren met grote klantenbestanden, wat de kans op compromittering van de toeleveringsketen vergroot. Beveiligingsonderzoekers waarschuwen dat, hoewel de dreiging van Noord-Koreaanse IT-medewerkers veel aandacht heeft gekregen, het PurpleBravo-model voor infiltratie in de toeleveringsketen evenveel prioriteit verdient. Organisaties worden aangeraden hun wervingsprocessen, de controle op de ontwikkelomgeving en het risicomanagement van derden te versterken om blootstelling van gevoelige gegevens aan Noord-Koreaanse dreigingsactoren te detecteren, te verstoren en te voorkomen.
