Unit 42’den araştırmacılar, freejacking kampanyası PurpleUrchin’den sorumlu bulut tehdit aktörleri grubu Automated Libra’yı analiz ediyor.
Automated Libra’nın kripto para birimi madenciliği için kullanılan bulut platformu kaynaklarından kar elde etmek için yöntemlerini geliştirdiği gözlemlendi.
Tehdit aktörleri, yeni bir CAPTCHA çözme tekniği, madencilik için daha agresif CPU kaynak kullanımı ve “freejacking” ile “Play and Run” yönteminin bir karışımını kullanarak ücretsiz bulut kaynaklarını kötüye kullanır.
PURPLEURCHIN ilk olarak Ekim 2022’de Sysdig’in saldırganların 30 GitHub hesabı, 2.000 Heroku hesabı ve 900 Buddy hesabı açarak operasyonlarını ölçeklendirdiğini açıkladığında tespit edildi.
Unit 42, “PearlUrchin operasyonu için oluşturulmuş 250 GB’tan fazla konteyner verisi topladık ve bu kampanyanın arkasındaki tehdit aktörlerinin, operasyonlarının zirve yaptığı Kasım 2022’de her dakika üç ila beş GitHub hesabı oluşturduklarını keşfettik” diyor.
Oyna ve Koş Taktikleri
Raporlar, PurpleUrchin tehdit aktörlerinin Oynat ve Çalıştır stratejilerini kullandığını, bulut kaynaklarını tüketirken bu tür kaynaklar için bulut platformu satıcısının faturasını ödemekten kaçındığını söylüyor.
PurpleUrchin’den aktörler, bu Oynat ve Çalıştır faaliyetlerini sahte hesaplar kurup kullanarak ve sahte veya belki de çalıntı ödeme kartları kullanarak gerçekleştirdiler. Bu sahte hesapların ödenmemiş bir bakiyesi vardı. 190 USD, keşfedilen en büyük ödenmemiş bakiyelerden biriydi.
Araştırmacılar, “Aktörler tarafından kullanılan diğer sahte hesaplardaki ve bulut hizmetlerindeki ödenmemiş bakiyelerin, madencilik operasyonunun ölçeği ve genişliği nedeniyle çok daha büyük olabileceğinden şüpheleniyoruz” dedi.
Otomatik Libra’nın Özellikleri
Tehdit aktörü, GitHub, Heroku, Buddy.works ve Togglebox gibi sürekli entegrasyon ve dağıtım (CI/CD) hizmet sağlayıcılarını kötüye kullanarak platformlarda yeni hesaplar oluşturmak ve kapsayıcılarda kripto para madencileri çalıştırmak için otomatikleştirilmiş kampanyalar kullanıyor.
Birim 42, tehdit aktörünün madencilik için çıkardıkları kripto para birimini ExchangeMarket, crex24, Luno ve CRATEX dahil olmak üzere çeşitli ticaret platformlarında ve ayrıca madencilik için kapsayıcı bileşenler kullanarak alıp sattığını tespit etti.
GitHub İş Akışları ile Madencilik
Araştırmacılar, daha kolay hesap kurulum süreci nedeniyle GitHub’ın büyük olasılıkla aktörler tarafından kullanıldığını söylüyor. Oyuncular, GitHub CAPTCHA kontrolünde bir kusurdan yararlanmayı başardılar.
Özellikle, her hesabın bilgi işlem kaynakları talep edeceği bir Oynat ve Çalıştır stratejisine girdikten sonra, tehdit aktörleri sonunda GitHub hesaplarının her biri için faturalarını ödeyemedi.
PurpleUrchin, çok sayıda sanal özel sunucu (VPS) sağlayıcısı ve bulut hizmeti sağlayıcısında 130.000’den fazla hesap oluşturdu ve bu, bunun onlar (CSP’ler) için tipik bir işletim uygulaması olduğunu gösteriyor.
Tehdit aktörleri, ImageMagic’in “dönüştürme” aracını kullanarak CAPTCHA görüntülerini RGB eşdeğerlerine dönüştürür ve ardından her görüntünün Kırmızı kanal çarpıklığını belirlemek için “tanımlama” aracını kullanır.
“Tanımlama” aracının çıktı değeri, fotoğrafları artan düzende sıralamak için kullanılır. Otomatikleştirilmiş araç, listenin başında yer alan ve genellikle doğru olan resmi seçmek için tabloyu kullanır.
Bu sistem, Automated Libra’nın her dakika oluşturabilecekleri GitHub hesaplarının sayısını artırarak operasyonel etkinliği artırma taahhüdünü gösterir.
Araştırmacılar, “Automated Libra’nın altyapısını CD/CI araçlarından tam olarak yararlanacak şekilde tasarladığını not etmek önemlidir.”
“Geleneksel VSP’ler hizmet portföylerini bulutla ilgili hizmetleri içerecek şekilde çeşitlendirdikçe bunu başarmak zaman içinde daha kolay hale geldi. Saldırganlar için daha kolay çünkü uygulamayı dağıtmak için buna ihtiyaçları yok.”
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin