Rilevamento della Campagna PURPLEURCHIN: Una Nuova Operazione di Cripto-Mining Abusa Massicciamente di GitHub Actions e Altri Popolari Account Gratuiti di Servizi CI/CD
Indice:
Con gli attacchi di cryptomining aumentati significativamente negli ultimi anni, aumentare la consapevolezza del cryptojacking è di fondamentale importanza. I ricercatori di cybersecurity hanno recentemente scoperto una massiccia campagna di cryptojacking che abusa dei fornitori di servizi CI/CD gratuiti, con oltre 30 account GitHub, 2.000 Heroku e 900 Buddy compromessi. Chiamata PURPLEURCHIN, l’operazione malevola applica tecniche sofisticate di offuscamento e capacità di automazione avanzate, sfruttando oltre 130 immagini Docker Hub e cambiando continuamente tra gli account di servizi CI/CD su più piattaforme.
Rilevare Campagne di Cryptojacking PURPLEURCHIN
Con gli attori delle minacce che prendono di mira più ambienti contemporaneamente e espandono continuamente il loro raggio d’azione, la campagna di crypto mining PURPLEURCHIN richiede una risposta ultra rapida da parte dei difensori informatici. La piattaforma SOC Prime per la difesa cyber collettiva ha pubblicato una regola Sigma curata per rilevare l’attività malevola associata a una nuova campagna di crypto mining PURPLEURCHIN. La regola Sigma dedicata, scritta dal nostro prolifico sviluppatore di Threat Bounty Emir Erdogan rileva l’esecuzione di immagini Docker Hub PURPLEURCHIN dopo aver scaricato i repository GitHub utilizzando un comando curl.
L’algoritmo di rilevamento è compatibile con oltre 20 piattaforme SIEM, EDR e XDR ed è allineato con MITRE ATT&CK® affrontando due tattiche avversarie — Impatto ed Esecuzione con le corrispondenti tecniche di Resource Hijacking (T1496) e User Execution (T1204).
Rilevazione dell’Operazione di Mining PURPLEURCHIN su Linux (tramite process_creation)
Con l’aumento degli attacchi di cryptojacking in tutto il mondo, le organizzazioni stanno cercando di adottare strategie di cybersecurity proattive per identificare e risolvere tempestivamente i rischi. Clicca il pulsante Esplora Rilevamenti per accedere immediatamente alle regole Sigma per il rilevamento di malware di crypto mining insieme a collegamenti CTI, riferimenti ATT&CK e altri contesti rilevanti di minacce cyber.
Descrizione dell’Attacco PURPLEURCHIN
The I ricercatori di cybersecurity di Sysdig hanno recentemente rivelato una massiccia operazione di freejacking, in cui gli avversari stanno compromettendo i fornitori di servizi CI/CD gratuiti, inclusi account GitHub, Heroku e Buddy, per minare criptovaluta. In questa campagna nominata PURPLEURCHIN, gli attaccanti hanno sfruttato più di un milione di piattaforme CI/CD ampiamente utilizzate gratuitamente, come GitHub Actions, per effettuare l’operazione malevola.
Il fatto che gli attacchi PURPLEURCHIN siano capaci di eseguire miner di criptovaluta su più ambienti aumenta i rischi per le organizzazioni che si affidano ai fornitori di servizi CI/CD potenzialmente impattati.
Secondo la ricerca di Sysdig, nella precedente campagna malevola sono stati sfruttati account di servizio gratuito con software open-source come Docker che è stato un obiettivo per attacchi di crypto mining. Tuttavia, in questa ultima campagna PURPLEURCHIN, il raggio d’azione degli attacchi si espande su più piattaforme freejacked simultaneamente insieme alla sofisticazione delle tecniche avversarie, richiedendo un’attenzione immediata da parte dei difensori informatici. Ciò che rende l’attacco così diffuso è l’uso delle capacità di automazione che consentono ai criminali informatici di generare continuamente account gratuiti per proseguire nell’operazione di mining.
Dopo aver eseguito l’immagine iniziale di Docker Hub PURPLEURCHIN, essa attiva azioni GitHub in più repository utilizzando HTTP. Comuni, attori delle minacce applicano lo strumento di mining XMRig, il comune miner basato su CPU per distribuire Monero, mentre gli avversari nel nuovo attacco PURPLEURCHIN usano un coin miner CPU che viene chiamato tramite Node.js.
È stato osservato che gli attori della minaccia PURPLEURCHIN minano Tidecoin, oltre ad applicare una varietà di coin miners dall’arsenale avversario. Inoltre, gli attaccanti sfruttano il loro protocollo relay di mining Stratum, che permette loro di nascondere l’indirizzo del portafoglio crypto e sfuggire al rilevamento.
Immagina che il codice che scrivi possa fare la differenza e aiutare altri a sventare emergenti attacchi cibernetici. Unisciti ai ranghi del nostro Programma Threat Bounty per affinare le tue competenze Sigma e ATT&CK e ricevere un compenso per i tuoi algorismi di rilevamento. Scrivi il tuo codice di rilevamento, condividilo con i tuoi colleghi del settore e fai sapere al mondo del tuo contributo.
