‘Automated Libra’ olarak bilinen Güney Afrikalı tehdit aktörleri, kripto para birimi madenciliği için bulut platformu kaynaklarını kullanarak kar elde etmek için tekniklerini geliştiriyor.
Palo Alto Networks Unit 42’ye göre, tehdit aktörleri yeni bir CAPTCHA çözme sistemi kullanıyor, madencilik için CPU kaynaklarını daha agresif bir şekilde kullanıyor ve ücretsiz bulut kaynaklarını kötüye kullanmak için “freejacking” ile “Play and Run” tekniğini karıştırıyor.
“Automated Libra” ilk olarak Ekim 2022’de Sysdig’deki kötü niyetli etkinlik kümesine “PurpleUrchin” adını veren ve grubun kaçakçılık operasyonlarına bağlı olduğuna inanan analistler tarafından ifşa edildi.
Birim 42, toplanan 250 GB’tan fazla veriyi analiz ederek ve tehdit aktörünün altyapısı, geçmişi ve teknikleri hakkında çok daha fazlasını ortaya çıkararak bu operasyonun derinliklerine daldı.
Otomatik Libra’ya Genel Bakış
Tehdit aktörü, platformlarda yeni hesaplar oluşturmak ve konteynerlerde kripto para madenciliği çalıştırmak için GitHub, Heroku, Buddy.works ve Togglebox gibi sürekli entegrasyon ve dağıtım (CI/CD) hizmet sağlayıcılarını kötüye kullanan otomatik kampanyalar yürütür.
Sysdig, ‘PurpleUrchin’e ait 3.200 kötü amaçlı hesap tespit ederken, Unit 42 şimdi, tehdit aktörünün, faaliyetlerinin ilk belirtilerinin izlenebildiği Ağustos 2019’dan bu yana platformlarda 130.000’den fazla hesap oluşturduğunu ve kullandığını bildiriyor.
Ek olarak, Birim 42, tehdit aktörünün kapsayıcıya alınmış bileşenleri yalnızca madencilik için değil, aynı zamanda ExchangeMarket, crex24, Luno ve CRATEX dahil olmak üzere çeşitli ticaret platformlarında çıkarılan kripto para birimini ticaret için de kullandığını keşfetti.
Yeni Oynat ve Çalıştır taktikleri
Sysdig, tehdit aktörlerinin ücretsiz hesaplara tahsis edilen mevcut kaynakları istismar etmeye çalışarak, operasyonlarını büyüterek önemli karlar elde etmeye çalışarak ‘serbest hırsızlık’ yaptıklarını fark etti.
Birim 42, freejacking’in PurpleUrchin’in operasyonlarının önemli bir yönü olduğunu doğruluyor, ancak “Oynat ve Koş” stratejisinin de büyük ölçüde dahil olduğunu bildiriyor.
Oynat ve Koş, tehdit aktörlerinin ücretli kaynakları kar amacıyla kullanması, bu durumda kripto madenciliği yapması ve hesapları dondurulana kadar faturaları ödemeyi reddetmesi için kullanılan bir terimdir. Bu noktada onları terk eder ve yollarına devam ederler.
PurpleUrchin tipik olarak çeşitli VPS ve CSP platformlarında premium hesaplar oluşturmak için çalınan PII ve kredi kartı verilerini kullanır, böylece ödenmemiş borçları bıraktıkları zaman kimse onları izleyemez.
Unit 42 raporunda “Aktör ayrıca tam bir sunucu veya bulut örneği ayırmış gibi göründü ve bazen AHP’ler gibi CSP hizmetlerini kullandılar” diye açıklıyor.
“Bunu, büyük ölçekli madencilik operasyonlarını izlemek ve takip etmek için gerekli olan web sunucularını barındırmayı kolaylaştırmak için yaptılar.”
Bu durumlarda, tehdit aktörü, erişimini kaybetmeden önce mümkün olduğu kadar çok CPU kaynağı kullanır.
Bu, madencinin sunucunun CPU gücünün yalnızca küçük bir bölümünü kullandığı bedava kaçırma kampanyalarında izlenen taktikle çelişir.
GitHub CAPTCHA çözümü
Automated Libra tarafından kullanılan dikkate değer bir teknik, manuel müdahale gerektirmeden GitHub’da birçok hesap oluşturmalarına yardımcı olan bir CAPTCHA çözme sistemidir.
Tehdit aktörleri, CAPTCHA görüntülerini RGB eşdeğerlerine dönüştürmek için ImageMagic’in “dönüştürme” aracını kullanır ve ardından her görüntü için Kırmızı kanal çarpıklığını çıkarmak için “tanımlama” aracını kullanır.
.png)
“Tanımla” aracı tarafından verilen değer, görüntüleri artan düzende sıralamak için kullanılır. Son olarak, otomatikleştirilmiş araç, listenin başında yer alan ve genellikle doğru olan görüntüyü seçmek için tabloyu kullanır.
Bu sistem, Automated Libra’nın GitHub’da dakika başına oluşturabilecekleri hesap sayısını artırarak daha yüksek operasyonel verimlilik elde etme kararlılığını vurgular.