- Сообщения
- 97
- Реакции
- 222
Южноафриканская хак-группа Automated Libra ищет новые подходы для использования ресурсов облачных платформ для майнинга криптовалюты. По данным Palo Alto Networks, злоумышленники используют новую систему для решения CAPTCHA, более агрессивно злоупотребляют ресурсами ЦП для майнинга, а также смешивают фриджекинг с техникой Play and Run.
Впервые операции Automated Libra были обнаружены аналитиками Sysdig осенью 2022 года. Тогда исследователи назвали найденный вредоносный кластер PurpleUrchin и предположили, что эта группировка специализируется на фриджекинге, то есть злоупотребляют бесплатным или ограниченным по времени доступом к различным сервисами (GitHub, Heroku и Buddy) для майнинга криптовалюты за их счёт.
Теперь эксперты Palo Alto Networks изучили активность этой группировки более детально, проанализировав более 250 ГБ собранных данных и собрав больше информации об инфраструктуре и методах злоумышленников.
По информации экспертов, автоматизированные кампании этих злоумышленников злоупотребляют CI/CD сервисами, включая GitHub, Heroku, Buddy и Togglebox, для создания новых учётных записей и запуска майнеров криптовалюты в контейнерах. Но если аналитики Sysdig выявили только 3200 вредоносных учётных записей, принадлежащих PurpleUrchin, то Palo Alto Networks сообщает, что с августа 2019 года хакеры создали и использовали более 130 000 учётных записей на упомянутых платформах.
Кроме того, выяснилось, что злоумышленники использовали контейнеры не только для самого майнинга, но и для торговли добытой криптовалютой на различных платформах, включая ExchangeMarket, crex24, Luno и CRATEX.
При этом исследователи подтверждают, что фриджекинг является важным аспектом операций Automated Libra, но пишут, что тактика Play and Run тоже имеет большое значение. Таким термином обычно обозначают злоумышленников, использующих платные ресурсы для получения прибыли (в данном случае с помощью майнинга криптовалюты), но отказывающихся оплачивать счета, пока их аккаунты заморозят. После блокировки они бросают учтённые записи и создают новые.
Как правило, Automated Libra использует украденные личные данные и информацию банковских карт для создания премиум-аккаунтов на платформах VPS и CSP, оставляя за собой «шлейф» из невыплаченных долгов.
В таких случаях злоумышленники используют как можно больше ресурсов сервера, прежде чем лишатся доступа. Это резко контрастирует с тактикой фриджекинга, когда майнер старается оставить незаметным и использует лишь крошечную часть мощностей сервера.
Кроме того, как отмечают эксперты, интересной особенностью атак Automated Libra является система решения CAPTCHA, которая помогает хакерам создавать множество учётных записей на GitHub автоматически. Для этого злоумышленники используют ImageMagic и преобразуют изображения CAPTCHA в их RGB-эквиваленты, а затем используют «identify» для определения асимметрии красного канала.
Полученные таким образом значения используются для ранжирования изображений в порядке возрастания, и автоматизированный инструмент выбирает изображение, возглавляющее полученный список. Обычно, именно оно и оказывается правильным.
