PURPLEURCHIN 캠페인 탐지: GitHub Actions 및 기타 인기 있는 무료 CI/CD 서비스 계정을 대규모로 악용하는 새로운 암호화폐 채굴 운영

암호화폐 채굴 공격이 지난 몇 년간 크게 증가하며, 크립토재킹에 대한 인식을 높이는 것이 매우 중요합니다. 사이버 보안 연구원들은 최근 무료 CI/CD 서비스 제공업체를 악용하여 30개 이상의 GitHub, 2,000개 Heroku, 및 900개 Buddy 계정을 침해한 대규모 크립토재킹 캠페인을 발견했습니다. PURPLEURCHIN이라는 명칭의 이 악성 작업은 130개 이상의 Docker Hub 이미지를 활용하고 여러 플랫폼에서 CI/CD 서비스 계정을 지속적으로 전환하는 고급 난독화 기술과 향상된 자동화 기능을 적용하고 있습니다.  significantly increasing over the past couple of years, increasing awareness of cryptojacking is of paramount importance. Cybersecurity researchers have recently uncovered a massive cryptojacking campaign abusing free CI/CD service providers, with over 30 GitHub, 2,000 Heroku, and 900 Buddy accounts compromised. Dubbed PURPLEURCHIN, the malicious operation applies sophisticated obfuscation techniques and enhanced automation capabilities leveraging over 130 Docker Hub images and continuously switching between CI/CD service accounts on multiple platforms. 

PURPLEURCHIN 크립토재킹 캠페인 감지

위협 행위자들이 여러 환경을 동시에 목표로 하며 공격 범위를 지속적으로 확장함에 따라, PURPLEURCHIN 암호화폐 채굴 캠페인은 사이버 수비자에게 높은 대응력을 요구합니다. 집단적인 사이버 방어를 위한 SOC Prime 플랫폼은 새로운 PURPLEURCHIN 암호화폐 채굴 캠페인과 관련된 악성 활동을 탐지하기 위한 큐레이팅된 Sigma 규칙 을 발행했습니다. 저희의 뛰어난 Threat Bounty 개발자인 Emir Erdogan 이 작성한 전용 Sigma 규칙은 GitHub 리포지토리를 curl 명령어를 사용하여 다운로드한 후 PURPLEURCHIN Docker Hub 이미지 실행을 감지합니다.

탐지 알고리즘은 20개 이상의 SIEM, EDR 및 XDR 플랫폼과 호환되며, MITRE ATT&CK® 의 두 가지 적대 전술인 영향 및 실행을 자원 하이재킹(T1496) 및 사용자 실행(T1204) 기술로 다루고 있습니다. 

리눅스에서의 PURPLEURCHIN 채굴 작업 탐지 (process_creation 통해)

전 세계적으로 증가하는 크립토재킹 공격에 대응하기 위해 조직은 리스크를 적시에 식별하고 완화하기 위한 사전 사이버 보안 전략을 채택하기 위해 노력하고 있습니다. 클릭하세요 탐지 탐색 버튼을 클릭하여 암호화폐 채굴 멀웨어 탐지를 위한 Sigma 규칙은 물론 CTI 링크, ATT&CK 참조 및 기타 관련 사이버 위협 컨텍스트에 즉시 접근하십시오.

탐지 탐색

PURPLEURCHIN 공격 설명

The Sysdig 사이버 보안 연구원들은 최근에 적들이 GitHub, Heroku, Buddy 계정 등 무료 CI/CD 서비스 제공자들을 손상시켜 암호화폐를 채굴하는 대규모 프리재킹 작업을 밝혀냈습니다. PURPLEURCHIN이라는 이 캠페인에서, 공격자들은 GitHub Actions와 같은 백만 개 이상의 널리 사용되는 무료 CI/CD 플랫폼을 악용하여 악성 작업을 수행했습니다.  have recently revealed a massive freejacking operation, in which adversaries are compromising free CI/CD service providers, including GitHub, Heroku, Buddy accounts to mine cryptocurrency. In this campaign named PURPLEURCHIN, attackers have leveraged more than a million free widely used CI/CD platforms, such as GitHub Actions, to perform the malicious operation. 

여러 환경에서 암호화폐 채굴기를 실행할 수 있는 PURPLEURCHIN 공격은 잠재적으로 영향을 받을 수 있는 CI/CD 서비스 제공업체에 의존하는 조직들에게 위험을 증가시킵니다. 

Sysdig 연구에 따르면 이전 악성 캠페인에서 Docker와 같은 오픈 소스 소프트웨어를 대상으로 하는 암호화폐 채굴 공격에서 무료 서비스 계정이 악용되었습니다. 하지만 이번 최신 PURPLEURCHIN 캠페인에서는 공격의 범위가 다수의 플랫폼으로 동시에 확장되고 상대방의 기술 수준이 증가함에 따라 사이버 수비자들의 즉각적인 주의가 필요합니다. 이 공격이 이렇게 광범위하게 확산되는 이유는 사이버 범죄자들이 광범위하게 새로운 계정을 생성하여 채굴 작업을 진행할 수 있는 자동화 기능을 사용하는 데 있습니다. 

초기 PURPLEURCHIN Docker Hub 이미지를 실행한 후 여러 리포지토리에 GitHub 액션을 HTTP를 사용하여 트리거합니다. 일반적으로, 위협 행위자들은 XMRig 암호화폐 채굴 도구를 사용하여 Monero를 배포하는 일반적인 CPU 기반 채굴기를 적용하는 반면, 새로운 PURPLEURCHIN 공격에서의 적들은 Node.js를 통해 호출되는 CPU 코인 마이너를 사용합니다. 

PURPLEURCHIN 위협 행위자들은 Tidecoin을 채굴하는 것으로 관찰되었으며, 적의 무기고에서 다양한 코인 채굴기를 적용합니다. 또한, 공격자들은 자신들의 Stratum 채굴 프로토콜 릴레이를 활용하여 암호화폐 지갑 주소를 숨기고 탐지를 회피할 수 있습니다.

당신이 작성하는 코드가 차이를 만들고 새로운 사이버 공격을 막는 데 도움을 줄 수 있다고 상상해 보십시오. 우리의 Threat Bounty 프로그램 의 일원이 되어 Sigma 및 ATT&CK 기술을 연마하고 당신의 탐지 알고리즘에 대한 보상을 받으십시오. 당신의 탐지 코드를 작성하여 산업 동료들과 공유하고, 세계에 당신의 기여를 알리십시오.