Detección de la Campaña PURPLEURCHIN: Una Nueva Operación de Criptominería Abusa Masivamente de GitHub Actions y Otras Cuentas de Servicios CI/CD Gratuitos Populares  

[post-views]
octubre 28, 2022 · 4 min de lectura
Detección de la Campaña PURPLEURCHIN: Una Nueva Operación de Criptominería Abusa Masivamente de GitHub Actions y Otras Cuentas de Servicios CI/CD Gratuitos Populares  

Con ataques de minería de criptomonedas aumentando significativamente en los últimos años, aumentar la conciencia sobre el cryptojacking es de suma importancia. Investigadores de ciberseguridad han descubierto recientemente una campaña masiva de cryptojacking que abusa de los proveedores de servicios CI/CD gratuitos, con más de 30 cuentas de GitHub, 2,000 de Heroku y 900 de Buddy comprometidas. Denominada PURPLEURCHIN, la operación maliciosa emplea técnicas sofisticadas de ofuscación y capacidades avanzadas de automatización utilizando más de 130 imágenes de Docker Hub y cambiando continuamente entre cuentas de servicio CI/CD en múltiples plataformas. 

Detectar campañas de Cryptojacking PURPLEURCHIN

Con actores malintencionados atacando múltiples entornos a la vez y expandiendo continuamente su alcance de ataques, la campaña de minería de criptomonedas PURPLEURCHIN requiere una ultra-responsividad por parte de los defensores cibernéticos. La plataforma SOC Prime para defensa cibernética colectiva ha publicado una regla Sigma curada para detectar la actividad maliciosa asociada con una nueva campaña de minería de criptomonedas PURPLEURCHIN. La regla Sigma dedicada, escrita por nuestro prolífico desarrollador de Threat Bounty Emir Erdogan detecta la ejecución de la imagen de Docker Hub de PURPLEURCHIN después de descargar repositorios de GitHub usando un comando curl.

El algoritmo de detección es compatible con más de 20 plataformas SIEM, EDR y XDR y está alineado con MITRE ATT&CK® abordando dos tácticas del adversario: Impacto y Ejecución con las técnicas correspondientes de Secuestro de Recursos (T1496) y Ejecución de Usuario (T1204) 

Detección de la operación de minería PURPLEURCHIN en Linux (a través de process_creation)

Con el creciente número de ataques de cryptojacking en todo el mundo, las organizaciones se esfuerzan por adaptarse a estrategias de ciberseguridad proactivas para identificar y remediar oportunamente los riesgos. Haz clic en el botón Explorar detecciones para acceder instantáneamente a las reglas Sigma para la detección de malware de minería de criptomonedas junto con enlaces CTI, referencias ATT&CK y otro contexto relevante de amenazas cibernéticas.

Explorar detecciones

Descripción del ataque PURPLEURCHIN

The Investigadores de ciberseguridad de Sysdig han revelado recientemente una operación masiva de freejacking, en la que los adversarios están comprometiendo proveedores de servicios CI/CD gratuitos, incluidas cuentas de GitHub, Heroku y Buddy para minar criptomonedas. En esta campaña denominada PURPLEURCHIN, los atacantes han aprovechado más de un millón de plataformas CI/CD gratuitas de uso común, como GitHub Actions, para llevar a cabo la operación maliciosa. 

El hecho de que los ataques PURPLEURCHIN sean capaces de ejecutar mineros de criptomonedas en múltiples entornos incrementa los riesgos para las organizaciones que dependen de los proveedores de servicios CI/CD potencialmente afectados. 

Según la investigación de Sysdig, las cuentas de servicio gratuitas fueron explotadas en campañas maliciosas anteriores con software de código abierto como Docker siendo un objetivo para ataques de minería de criptomonedas. Sin embargo, en esta última campaña PURPLEURCHIN, el alcance de los ataques se expande a múltiples plataformas freejacked simultáneamente junto con la sofisticación de las técnicas del adversario, requiriendo atención inmediata por parte de los defensores cibernéticos. Lo que hace que el ataque se extienda a tal escala es el uso de capacidades de automatización que permiten a los ciberdelincuentes generar continuamente cuentas gratuitas para proceder con la operación de minería. 

Después de ejecutar la imagen inicial de Docker Hub PURPLEURCHIN, desencadena una acción de GitHub en múltiples repositorios usando HTTP. Comúnmente, los actores malintencionados aplican la herramienta de minería de criptomonedas XMRig, el minero común basado en CPU para desplegar Monero, mientras que los adversarios en el nuevo ataque PURPLEURCHIN usan un minero de monedas para CPU que se llama a través de Node.js. 

Se ha observado a los actores de amenaza PURPLEURCHIN minando Tidecoin, así como aplicando una variedad de mineros de monedas del arsenal del adversario. Además, los atacantes aprovechan su propio relé de protocolo de minería Stratum, lo que les permite ocultar la dirección de la billetera de criptomonedas y evadir la detección.

Imagina que el código que escribes puede marcar la diferencia y ayudar a otros a frustrar los ataques cibernéticos emergentes. Únete a las filas de nuestro Programa de recompensas de amenazas para perfeccionar tus habilidades Sigma y ATT&CK y recibir pago por tus propios algoritmos de detección. Escribe tu propio código de detección, compártelo con colegas de la industria y deja que el mundo conozca tu contribución. 

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Inteligencia de Amenazas con IA 15 min de lectura SIEM y EDR Inteligencia de Amenazas con IA by Veronika Telychko Acceder a la Funcionalidad de Uncoder AI a través de API 2 min de lectura Plataforma SOC Prime Acceder a la Funcionalidad de Uncoder AI a través de API by Steven Edwards Buscar en el Mercado de Detección de Amenazas de Uncoder AI 2 min de lectura Plataforma SOC Prime Buscar en el Mercado de Detección de Amenazas de Uncoder AI by Steven Edwards
Todas las noticias