「Automated Libra」として知られる南アフリカの脅威アクターは、暗号通貨のマイニングにクラウド プラットフォーム リソースを使用することで利益を上げるための技術を向上させてきました。
Palo Alto Networks Unit 42 によると、攻撃者は新しい CAPTCHA 解決システムを使用し、マイニングのために CPU リソースをより積極的に使用し、「フリージャック」と「プレイ アンド ラン」手法を組み合わせて無料のクラウド リソースを悪用します。
「Automated Libra」は、 2022 年 10 月に Sysdig のアナリストによって最初に公開されました。アナリストは、活動の悪意のあるクラスターを「PurpleUrchin」と名付け、グループがフリージャック操作に専念していると信じていました。
Unit 42 はこの作戦を深く掘り下げ、収集した 250 GB を超えるデータを分析し、攻撃者のインフラストラクチャ、履歴、および技術についてさらに多くのことを明らかにしました。
自動天秤座の概要
脅威アクターは、GitHub、Heroku、Buddy.works、Togglebox などの継続的インテグレーションおよびデプロイメント (CI/CD) サービス プロバイダーを悪用する自動化されたキャンペーンを実行して、プラットフォームに新しいアカウントを設定し、コンテナーで暗号通貨マイナーを実行します。
Sysdig は「PurpleUrchin」に属する 3,200 の悪意のあるアカウントを特定しましたが、Unit 42 は現在、攻撃者がその活動の最初の兆候を追跡できる 2019 年 8 月以降、プラットフォーム上で 130,000 を超えるアカウントを作成および使用したと報告しています。
さらに、Unit 42 は、攻撃者がコンテナー化されたコンポーネントをマイニングだけに使用するのではなく、マイニングされた暗号通貨を ExchangeMarket、crex24、Luno、CRATEX などのさまざまな取引プラットフォームで取引するためにも使用していることを発見しました。
新しいプレイ アンド ラン戦術
Sysdig は、脅威アクターが「フリージャック」に関与していることに気付きました。これは、無料のアカウントに割り当てられた利用可能なリソースを悪用しようとし、その操作を拡大することで大きな利益を得ようとしています。
Unit 42 は、フリージャックが PurpleUrchin の操作の重要な側面であることを確認していますが、「プレイ アンド ラン」戦略も大きく関与していると報告しています。
Play and Run は、利益のために有料リソース (この場合はクリプトマイニング) を使用し、アカウントが凍結されるまで請求書の支払いを拒否する攻撃者を指す用語です。その時点で、彼らはそれらを放棄して先に進みます。
通常、PurpleUrchin は盗んだ PII とクレジット カード データを使用して、さまざまな VPS および CSP プラットフォームでプレミアム アカウントを作成します。
「攻撃者は、フル サーバーまたはクラウド インスタンスを予約しているようにも見え、AHP などの CSP サービスを使用することもありました」と、 Unit 42 のレポートは説明しています。
「彼らは、大規模な採掘作業を監視および追跡するために必要な Web サーバーのホスティングを容易にするためにそうしました。」
このような場合、脅威アクターは、アクセスできなくなる前に、できるだけ多くの CPU リソースを利用します。
これは、マイナーがサーバーの CPU パワーのごく一部しか使用しないフリージャック キャンペーンで採用された戦術とは対照的です。
GitHub CAPTCHA 解決
Automated Libra が採用している注目すべき手法の 1 つは、CAPTCHA 解決システムです。これにより、GitHub で手動の介入を必要とせずに多数のアカウントを作成できます。
攻撃者は、ImageMagic の「変換」ツールを使用して CAPTCHA 画像を対応する RGB 画像に変換し、「識別」ツールを使用して各画像の赤チャネルの歪度を抽出します。
.png)
「識別」ツールによって出力された値は、画像を昇順にランク付けするために使用されます。最後に、自動化されたツールがテーブルを使用して、リストの一番上にある画像を選択します。これは通常、正しい画像です。
このシステムは、GitHub で作成できる 1 分あたりのアカウント数を増やすことで、より高い運用効率を達成するという Automated Libra の決意を強調しています。
Comments