PURPLEURCHINキャンペーンの検出: GitHub Actionsなどの人気のある無料CI/CDサービスアカウントを大量に悪用した新しい暗号通貨マイニングオペレーション

によって 暗号通貨マイニング攻撃が 過去数年間で大幅に増加しているため、クリプトジャッキングへの意識を高めることが極めて重要です。サイバーセキュリティの研究者たちは最近、30以上のGitHub、2,000のHeroku、900のBuddyアカウントが侵害された、無料のCI/CDサービスプロバイダーを悪用した大規模なクリプトジャッキングキャンペーンを発見しました。このキャンペーンはPURPLEURCHINと呼ばれ、高度な難読化技術と自動化機能を駆使し、130以上のDocker Hubイメージを利用して複数のプラットフォームでCI/CDサービスアカウントを継続的に切り替えています。 

PURPLEURCHINクリプトジャッキングキャンペーンを検出

脅威アクターが同時に複数の環境を標的にし、攻撃の範囲を継続的に拡大しているため、PURPLEURCHIN暗号通貨マイニングキャンペーンに対してサイバー防御者には超迅速な対応が求められます。集団サイバー防御のためのSOC Primeプラットフォームは、新たなPURPLEURCHIN暗号通貨マイニングキャンペーンに関連する悪意のある活動を検出するためのキュレートされた Sigmaルール を公開しています。当社のプロリフィックなThreat Bounty開発者 Emir Erdogan によって書かれた専用のSigmaルールは、curlコマンドを使用してGitHubリポジトリをダウンロードした後にPURPLEURCHIN Docker Hubイメージの実行を検出します。

この検出アルゴリズムは、20種類以上のSIEM、EDR、XDRプラットフォームと互換性があり、 MITRE ATT&CK® に準拠し、対応するリソースハイジャッキング（T1496）およびユーザーエクゼキューション（T1204）技術で、2つの敵対者の戦術（影響と実行）に対応しています。 

Linux上でのPURPLEURCHINマイニング操作の検出（process_creation経由）

世界中で増加しているクリプトジャッキング攻撃に伴い、組織はリスクをタイムリーに特定し軽減するための予防的なサイバーセキュリティ戦略を採用するよう努めています。「 検出内容を調べる 」ボタンをクリックすると、暗号通貨マルウェア検出のためのSigmaルールおよびCTIリンク、ATT&CK参照、およびその他の関連するサイバー脅威コンテキストに即座にアクセスできます。

検出内容を調べる

PURPLEURCHIN攻撃の説明

The Sysdigのサイバーセキュリティ研究者たちは、GitHub、Heroku、Buddyアカウントを含む無料のCI/CDサービスプロバイダーを攻撃対象とし、暗号通貨をマイニングする大規模なfreejacking作戦を最近明らかにしました。このPURPLEURCHINと呼ばれるキャンペーンでは、GitHub Actionsなどの広く使用されている無料のCI/CDプラットフォームを100万以上利用して悪意のある操作を行っています。  have recently revealed a massive freejacking operation, in which adversaries are compromising free CI/CD service providers, including GitHub, Heroku, Buddy accounts to mine cryptocurrency. In this campaign named PURPLEURCHIN, attackers have leveraged more than a million free widely used CI/CD platforms, such as GitHub Actions, to perform the malicious operation. 

PURPLEURCHIN攻撃が複数の環境で暗号マイナーを実行できるという事実は、潜在的に影響を受けるCI/CDサービスプロバイダーに依存する組織にとってリスクを増加させます。 

Sysdigの研究によると、オープンソースソフトウェアのDockerをターゲットとした暗号通貨マイニング攻撃では、無料のサービスアカウントが過去の悪意のあるキャンペーンで悪用されました。しかし、この最新のPURPLEURCHINキャンペーンでは、複数のプラットフォームに同時に展開された攻撃範囲の増大および敵対技術の洗練により、サイバー防御者からの即時の注意が必要です。この攻撃がそのようなスケールで広がる要因は、サイバー犯罪者がマイニング操作を続行するための無料アカウントを継続的に生成できる自動化機能の使用です。 

初期PURPLEURCHIN Docker Hubイメージを実行すると、HTTPを介して複数のリポジトリでGitHubアクションをトリガーします。通常、脅威アクターは XMRig暗号通貨マイニングツールを使用して、一般的なCPUベースのマイナーとして Moneroを展開しますが、新しいPURPLEURCHIN攻撃では、Node.jsを通じて呼び出されるCPUコインマイナーを使用します。 

PURPLEURCHIN脅威アクターはTidecoinをマイニングしているのが観察されており、敵対者の武器庫から様々なコインマイナーを使用しています。さらに、彼らは独自のStratumマイニングプロトコルリレーを利用しており、これにより暗号ウォレットアドレスを隠して検出を回避します。

あなたが書いたコードが違いを生み出し、新たなサイバー攻撃を阻止する手助けができるとしたらどうでしょう。当社の Threat Bounty Program に参加し、SigmaとATT&CKのスキルを磨き、独自の検出アルゴリズムに対して報酬を得ましょう。独自の検出コードを書き、それを業界の仲間と共有し、あなたの貢献を世界に知らせましょう。