PURPLEURCHIN Kampagnenerkennung: Eine neue Krypto-Mining-Operation missbraucht massiv GitHub Actions und andere beliebte kostenlose CI/CD-Dienstkonten
Inhaltsverzeichnis:
Mit Krypto-Mining-Angriffen die in den letzten Jahren signifikant zugenommen haben, ist das Bewusstsein für Cryptojacking von äußerster Wichtigkeit. Cybersecurity-Forscher haben kürzlich eine massive Cryptojacking-Kampagne aufgedeckt, die kostenlose CI/CD-Dienste missbraucht, mit über 30 kompromittierten GitHub-, 2.000 Heroku- und 900 Buddy-Konten. Die PURPLEURCHIN getaufte bösartige Operation nutzt ausgeklügelte Verschleierungstechniken und erweiterte Automatisierungsfähigkeiten und verwendet über 130 Docker Hub-Bilder und wechselt kontinuierlich zwischen CI/CD-Dienstkonten auf mehreren Plattformen.
Erkennung von PURPLEURCHIN-Cryptojacking-Kampagnen
Da Bedrohungsakteure gleichzeitig mehrere Umgebungen ins Visier nehmen und kontinuierlich ihren Angriffsumfang erweitern, erfordert die PURPLEURCHIN-Krypto-Mining-Kampagne ein Höchstmaß an Reaktionsfähigkeit von Cyber-Verteidigern. Die SOC Prime-Plattform für kollektive Cyberverteidigung hat eine kuratierte Sigma-Regel veröffentlicht zur Erkennung der bösartigen Aktivität im Zusammenhang mit einer neuen PURPLEURCHIN-Krypto-Mining-Kampagne. Die dedizierte Sigma-Regel, verfasst von unserem produktiven Threat Bounty Entwickler Emir Erdogan , erkennt die Ausführung des Docker Hub-Images von PURPLEURCHIN nach dem Herunterladen von GitHub-Repositories mit einem Curl-Befehl.
Der Erkennungsalgorithmus ist mit über 20+ SIEM-, EDR- und XDR-Plattformen kompatibel und ist abgestimmt mit MITRE ATT&CK® , wobei zwei gegnerische Taktiken angesprochen werden — Impact und Execution mit den entsprechenden Techniken Ressourcenentführung (T1496) und Nutzerausführung (T1204).
Erkennung der PURPLEURCHIN-Mining-Operation auf Linux (via process_creation)
Mit der zunehmenden Anzahl an Cryptojacking-Angriffen weltweit, bemühen sich Organisationen, proaktive Cybersecurity-Strategien zu adaptieren, um Risiken rechtzeitig zu identifizieren und zu beheben. Klicken Sie den Entdeckungen erkunden Button, um sofort Sigma-Regeln zur Erkennung von Krypto-Malware zusammen mit CTI-Links, ATT&CK-Referenzen und anderen relevanten Cyberbedrohungskontexten zu erreichen.
Beschreibung des PURPLEURCHIN-Angriffs
The Sysdig-Cybersicherheitsforscher haben kürzlich eine massive Freejacking-Operation aufgedeckt, in der Gegner freie CI/CD-Dienstleister kompromittieren, einschließlich GitHub, Heroku, Buddy-Konten, um Kryptowährung zu schürfen. In dieser PURPLEURCHIN genannten Kampagne haben Angreifer über eine Million weit verbreitete kostenlose CI/CD-Plattformen wie GitHub Actions genutzt, um die bösartige Operation durchzuführen.
Die Tatsache, dass die PURPLEURCHIN-Angriffe in der Lage sind, Krypto-Miner über mehrere Umgebungen hinweg auszuführen, erhöht das Risiko für Organisationen, die auf die potenziell betroffenen CI/CD-Dienstleister angewiesen sind.
Laut der Sysdig-Forschung wurden kostenlose Dienstkonten in früheren bösartigen Kampagnen ausgenutzt, wobei Open-Source-Software wie Docker ein Ziel für Krypto-Mining-Angriffe war. Dennoch erfordert in dieser neuesten PURPLEURCHIN-Kampagne der auf mehrere Plattformen gleichzeitig ausgeweitete Angriff sowie die Raffinesse der Gegnertechniken sofortiges Eingreifen durch Cyber-Verteidiger. Was den Angriff so großflächig verbreitet, ist der Einsatz von Automatisierungsfähigkeiten, die es Cyberkriminellen ermöglichen, kontinuierlich kostenlose Konten zu generieren, um die Mining-Operation fortzusetzen.
Nach der Ausführung des initialen PURPLEURCHIN Docker Hub-Images triggert es GitHub-Action in mehreren Repositories mithilfe von HTTP. Üblicherweise wenden Bedrohungsakteure das XMRig Krypto-Mining-Toolan, der übliche CPU-basierte Miner für den Einsatz von Monero, während Gegner im neuartigen PURPLEURCHIN-Angriff einen CPU-Miner verwenden, der über Node.js aufgerufen wird.
PURPLEURCHIN-Bedrohungsakteure wurden beim Schürfen von Tidecoin beobachtet und setzen auch eine Vielzahl von Minern aus dem Gegner-Arsenal ein. Außerdem nutzen Angreifer ihr eigenes Stratum-Mining-Protokoll-Relay, welches es ihnen ermöglicht, die Krypto-Wallet-Adresse zu verbergen und der Erkennung zu entgehen.
Stellen Sie sich vor, der von Ihnen geschriebene Code kann einen Unterschied machen und anderen helfen, aufkommende Cyberangriffe zu vereiteln. Schließen Sie sich unseren Reihen im Threat Bounty Programm an, um Ihre Sigma- und ATT&CK-Fähigkeiten zu verbessern und für Ihre eigenen Erkennungsalgorithmen bezahlt zu werden. Schreiben Sie Ihren eigenen Erkennungscode, teilen Sie ihn mit Branchenkollegen und lassen Sie die Welt von Ihrem Beitrag wissen.
