Detecção da Campanha PURPLEURCHIN: Uma Nova Operação de Criptomineração Abusa Massivamente das Ações do GitHub e de Outras Contas de Serviços CI/CD Gratuitos Populares  

[post-views]
Outubro 28, 2022 · 4 min de leitura
Detecção da Campanha PURPLEURCHIN: Uma Nova Operação de Criptomineração Abusa Massivamente das Ações do GitHub e de Outras Contas de Serviços CI/CD Gratuitos Populares  

Com ataques de mineração de criptomoedas aumentando significativamente nos últimos anos, aumentar a conscientização sobre cryptojacking é de extrema importância. Pesquisadores de cibersegurança descobriram recentemente uma campanha massiva de cryptojacking abusando de provedores de serviços CI/CD gratuitos, com mais de 30 contas no GitHub, 2.000 no Heroku e 900 no Buddy comprometidas. Apelidada de PURPLEURCHIN, a operação maliciosa aplica técnicas sofisticadas de ofuscação e capacidades aprimoradas de automação, aproveitando mais de 130 imagens do Docker Hub e alternando continuamente entre contas de serviços CI/CD em várias plataformas. 

Detectar Campanhas de Cryptojacking PURPLEURCHIN

Com os atores de ameaça alvejando múltiplos ambientes ao mesmo tempo e ampliando continuamente o escopo de seus ataques, a campanha de mineração de criptomoedas PURPLEURCHIN requer ultra-responsividade dos defensores cibernéticos. A Plataforma SOC Prime para defesa cibernética coletiva publicou uma regra Sigma curada para detectar a atividade maliciosa associada a uma nova campanha de mineração de criptomoedas PURPLEURCHIN. A regra Sigma dedicada, escrita pelo nosso prolífico desenvolvedor de Threat Bounty Emir Erdogan detecta a execução de imagens Docker Hub PURPLEURCHIN após baixar repositórios do GitHub usando um comando curl.

O algoritmo de detecção é compatível com mais de 20 plataformas SIEM, EDR e XDR e está alinhado com MITRE ATT&CK® abordando duas táticas de adversário – Impacto e Execução, com as técnicas correspondentes de Sequestro de Recursos (T1496) e Execução do Usuário (T1204). 

Detecção da Operação de Mineração PURPLEURCHIN no Linux (via criação de processo)

Com o crescente número de ataques de cryptojacking em todo o mundo, as organizações estão se esforçando para adaptar estratégias de cibersegurança proativas para identificar e remediar os riscos de maneira oportuna. Clique no Explore Detections botão para acessar instantaneamente regras Sigma para detecção de malware de mineração de criptomoedas, juntamente com links de CTI, referências ATT&CK e outro contexto relevante de ameaças cibernéticas.

Explore Detections

Descrição do Ataque PURPLEURCHIN

The Pesquisadores de cibersegurança da Sysdig revelaram recentemente uma operação massiva de freejacking, na qual adversários estão comprometendo provedores de serviços CI/CD gratuitos, incluindo contas do GitHub, Heroku e Buddy, para minerar criptomoedas. Nesta campanha chamada PURPLEURCHIN, os atacantes aproveitaram mais de um milhão de plataformas CI/CD amplamente usadas, como o GitHub Actions, para realizar a operação maliciosa. 

O fato de que os ataques PURPLEURCHIN são capazes de executar mineradores de criptomoedas em múltiplos ambientes aumenta os riscos para organizações que dependem dos provedores de serviços CI/CD potencialmente impactados. 

De acordo com a pesquisa da Sysdig, contas de serviços gratuitas foram exploradas em campanhas maliciosas anteriores, com softwares de código aberto como o Docker sendo um alvo para ataques de mineração de criptomoedas. Ainda assim, nesta última campanha PURPLEURCHIN, o escopo dos ataques se expandindo para múltiplas plataformas sequestradas simultaneamente, juntamente com a sofisticação das técnicas do adversário, requer atenção imediata dos defensores cibernéticos. O que faz o ataque se espalhar em tal escala é o uso de capacidades de automação, permitindo que os cibercriminosos gerem continuamente contas gratuitas para prosseguir com a operação de mineração. 

Após executar a imagem inicial PURPLEURCHIN do Docker Hub, ela aciona a ação do GitHub em vários repositórios usando HTTP. Comumente, os atores de ameaça aplicam a ferramenta de mineração de criptomoedas XMRig, o minerador baseado em CPU comum para implantar Monero, enquanto adversários no novo ataque PURPLEURCHIN usam um minerador de moedas de CPU que é acionado através do Node.js. 

Observou-se que os atores de ameaça PURPLEURCHIN estão minerando Tidecoin, bem como aplicando uma variedade de mineradores de moedas do arsenal do adversário. Além disso, os atacantes aproveitam seu próprio relé do protocolo de mineração Stratum, o que lhes permite ocultar o endereço da carteira de criptomoedas e evadir a detecção.

Imagine o código que você escreve pode fazer a diferença e ajudar outros a combater ataques cibernéticos emergentes. Junte-se às fileiras do nosso Programa de Bounty de Ameaças para aprimorar suas habilidades de Sigma e ATT&CK e ser pago por seus próprios algoritmos de detecção. Escreva seu próprio código de detecção, compartilhe-o com seus colegas da indústria e deixe o mundo saber sobre sua contribuição. 

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Inteligência de Ameaças com IA 17 min de leitura SIEM & EDR Inteligência de Ameaças com IA by Veronika Telychko Acessar Funcionalidade do Uncoder AI via API 2 min de leitura Plataforma SOC Prime Acessar Funcionalidade do Uncoder AI via API by Steven Edwards Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI 2 min de leitura Plataforma SOC Prime Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI by Steven Edwards
Todas as notícias