Sydafrikanske trusselsaktører kendt som ‘Automated Libra’ har forbedret deres teknikker til at tjene penge ved at bruge cloud-platformressourcer til cryptocurrency-minedrift.
Ifølge Palo Alto Networks bruger Unit 42 trusselsaktørerne et nyt CAPTCHA-løsningssystem, følger en mere aggressiv brug af CPU-ressourcer til minedrift og blander ‘freejacking’ med “Play and Run” -teknikken for at misbruge gratis cloud-ressourcer.
‘Automated Libra’ blev først afsløret af analytikere hos Sysdig i oktober 2022, der navngav den ondsindede aktivitetsklynge ‘PurpleUrchin’ og troede, at gruppen var dedikeret til freejacking-operationer.
UNIT 42 er dykket dybere ned i denne operation, analyserer over 250 GB indsamlede data og afdækker meget mere om trusselsaktørens infrastruktur, historie og teknikker.
Oversigt over Automated Libra
Trusselsaktøren kører automatiserede kampagner, der misbruger kontinuerlig integration og implementering (CI / CD) tjenesteudbydere, såsom GitHub, Heroku, Buddy.works og Togglebox, for at oprette nye konti på platformene og køre cryptocurrency-minearbejdere i containere.
Mens Sysdig identificerede 3,200 ondsindede konti, der tilhører ‘PurpleUrchin’, rapporterer Unit 42 nu, at trusselsaktøren har oprettet og brugt over 130,000 konti på platformene siden august 2019, hvor de første tegn på dets aktiviteter kan spores.
Derudover opdagede Unit 42, at trusselsaktøren ikke kun brugte containeriserede komponenter til minedrift, men også til handel med den minerede kryptokurrency på tværs af forskellige handelsplatforme, herunder ExchangeMarket, crex24, Luno og CRATEX.
Ny Spil og Kør-taktik
Sysdig bemærkede, at trusselsaktørerne engagerede sig i ‘freejacking’, forsøgte at udnytte de tilgængelige ressourcer, der er allokeret til gratis konti, og forsøgte at opnå betydelig fortjeneste ved at opskalere driften.
Unit 42 bekræfter, at freejacking er et vigtigt aspekt af PurpleUrchins operationer, men rapporterer, at “Play and Run” -strategien også er stærkt impliceret.
Play and Run er en betegnelse for trusselsaktører, der bruger betalte ressourcer til fortjeneste, i dette tilfælde cryptomining, og nægter at betale regningerne, før deres konti er frosset. På det tidspunkt forlader de dem og går videre.
Typisk bruger PurpleUrchin stjålne PII- og kreditkortdata til at oprette premium-konti på forskellige VPS- og CSP-platforme, så ingen kan spore dem, når de efterlader ubetalt gæld.
“Skuespilleren syntes også at reservere en fuld server eller cloud-forekomster, og de brugte undertiden CSP-tjenester såsom AHP’er,”
forklarer Unit 42-rapporten.
“De gjorde det for at lette hosting af webservere, der var nødvendige for at overvåge og spore deres store minedrift.”
I disse tilfælde bruger trusselsaktøren så mange CPU-ressourcer som muligt, før de mister adgangen til det.
Dette står i kontrast til den taktik, der blev fulgt i freejacking-kampagnerne, hvor minearbejderen kun bruger en lille del af serverens CPU-kraft.
GitHub CAPTCHA-løsning
En bemærkelsesværdig teknik, der anvendes af Automated Libra, er et CAPTCHA-løsningssystem, der hjælper dem med at oprette mange konti på GitHub uden at kræve manuel indgriben.
Trusselsaktørerne bruger ImageMagics “convert” -værktøj til at konvertere CAPTCHA-billeder til deres RGB-ækvivalenter og bruger derefter værktøjet “identificer” til at udtrække den røde kanalskævhed for hvert billede, som du kan se herunder:
CAPTCHA og konvertering (Unit 42)
Kommando til at udtrække skævhedsværdi (øverst) og billedrangering (nederst) (Unit 42)
Den værdi, der udsendes af værktøjet “identificere”, bruges til at rangere billederne i stigende rækkefølge. Endelig bruger det automatiserede værktøj tabellen til at vælge det billede, der topper listen, hvilket normalt er det rigtige.
Dette system fremhæver Automated Libras beslutsomhed for at opnå højere driftseffektivitet ved at øge antallet af konti pr. minut, de kan oprette på GitHub.
“Udbydere af både gratis og betalte tjenester skal sikre sig mod dette misbrug, der er omfattende og ikke kan standses med f.eks. IP tabelsikringer eller 2 faktor login sikkerhed.”
Siger Salgsdirektør Michael Rasmussen, ICARE SECURITY A/S, DENMARK
Fotokredit: stock.adobe.com
Kilde: Palo Alto Networks, SysDig, Bleeping Computer
