Ngày 06 tháng 1 năm 2023Ravie Lakshmanan Tiền điện tử / GitHub
Một tác nhân đe dọa có trụ sở tại Nam Phi được gọi là Libra tự động đã được quan sát sử dụng các kỹ thuật bỏ qua CAPTCHA để tạo tài khoản GitHub theo kiểu lập trình như một phần của chiến dịch đánh cắp tự do có tên là PURPLEURCHIN.
Nhóm “chủ yếu nhắm mục tiêu vào các nền tảng đám mây cung cấp các bản dùng thử tài nguyên đám mây trong thời gian giới hạn để thực hiện các hoạt động khai thác tiền điện tử của họ”, các nhà nghiên cứu của Đơn vị 42 Palo Alto Networks, William Gamazo và Nathaniel Quist cho biết.
PURPLEURCHIN lần đầu tiên được đưa ra ánh sáng vào tháng 10 năm 2022 khi Sysdig tiết lộ rằng kẻ thù đã tạo tới 30 tài khoản GitHub, 2.000 tài khoản Heroku và 900 tài khoản Buddy để mở rộng quy mô hoạt động của nó.
Giờ đây, theo Đơn vị 42, nhóm tác nhân đe dọa đám mây đã tạo từ ba đến năm tài khoản GitHub mỗi phút vào thời điểm hoạt động cao nhất vào tháng 11 năm 2022, thiết lập hoàn toàn hơn 130.000 tài khoản giả trên Heroku, Togglebox và GitHub.
Ước tính có hơn 22.000 tài khoản GitHub được tạo từ tháng 9 đến tháng 11 năm 2022, ba tài khoản vào tháng 9, 1.652 vào tháng 10 và 20.725 vào tháng 11. Tổng cộng 100.723 tài khoản Heroku duy nhất cũng đã được xác định.
Công ty an ninh mạng cũng gọi việc lạm dụng tài nguyên đám mây là chiến thuật “chơi và chạy” được thiết kế để tránh thanh toán hóa đơn của nhà cung cấp nền tảng bằng cách sử dụng thẻ tín dụng giả hoặc bị đánh cắp để tạo tài khoản trả phí.
Phân tích 250GB dữ liệu của nó cho thấy dấu hiệu sớm nhất của chiến dịch tiền điện tử ít nhất gần 3,5 năm trước vào tháng 8 năm 2019, xác định việc sử dụng hơn 40 ví và bảy loại tiền điện tử khác nhau.
Ý tưởng cốt lõi làm nền tảng cho PURPLEURCHIN là khai thác các tài nguyên máy tính được phân bổ cho các tài khoản miễn phí và cao cấp trên các dịch vụ đám mây để thu lợi nhuận tiền tệ trên quy mô lớn trước khi mất quyền truy cập do không thanh toán phí.
Bên cạnh việc tự động hóa quy trình tạo tài khoản bằng cách tận dụng các công cụ hợp pháp như xdotool và ImageMagick, kẻ đe dọa cũng bị phát hiện lợi dụng điểm yếu trong kiểm tra CAPTCHA trên GitHub để thực hiện các mục tiêu bất hợp pháp của mình.
Điều này được thực hiện bằng cách sử dụng lệnh chuyển đổi của ImageMagick để chuyển đổi hình ảnh CAPTCHA thành phần bổ sung RGB của chúng, sau đó sử dụng lệnh nhận dạng để trích xuất độ lệch của kênh màu đỏ và chọn giá trị nhỏ nhất.
Sau khi tạo tài khoản thành công, Automated Libra sẽ tiến hành tạo kho lưu trữ GitHub và triển khai các quy trình công việc để có thể khởi chạy các tập lệnh và vùng chứa Bash bên ngoài để bắt đầu các chức năng khai thác tiền điện tử.
Các phát hiện minh họa cách chiến dịch freejacking có thể được vũ khí hóa để tối đa hóa lợi nhuận bằng cách tăng số lượng tài khoản có thể được tạo mỗi phút trên các nền tảng này.
Các nhà nghiên cứu kết luận: “Điều quan trọng cần lưu ý là Libra tự động thiết kế cơ sở hạ tầng của họ để tận dụng tối đa các công cụ CD/CI”.
“Điều này đang trở nên dễ dàng đạt được hơn theo thời gian vì các VSP truyền thống đang đa dạng hóa danh mục dịch vụ của họ để bao gồm các dịch vụ liên quan đến đám mây. Sự sẵn có của các dịch vụ liên quan đến đám mây này giúp các tác nhân đe dọa dễ dàng hơn vì họ không phải duy trì cơ sở hạ tầng để triển khai các ứng dụng của họ.”
