被称为“自动化天秤座”的南非威胁参与者一直在改进他们的技术,通过使用云平台资源进行加密货币挖掘来获利。
据 Palo Alto Networks Unit 42 称,威胁行为者使用新的 CAPTCHA 解决系统,更积极地使用 CPU 资源进行挖掘,并将“免费劫持”与“即玩即跑”技术混合使用以滥用免费的云资源。
“Automated Libra”于2022 年 10 月由 Sysdig 的分析师首次曝光 ,他们将恶意活动集群命名为“PurpleUrchin”,并认为该组织致力于劫持操作。
Unit 42 深入研究了该行动,分析了超过 250 GB 的收集数据,并发现了更多关于威胁参与者的基础设施、历史和技术的信息。
自动化天秤座概述
威胁参与者运行自动化活动,滥用持续集成和部署 (CI/CD) 服务提供商,例如 GitHub、Heroku、Buddy.works 和 Togglebox,以在平台上设置新帐户并在容器中运行加密货币矿工。
尽管 Sysdig 确定了 3,200 个属于“PurpleUrchin”的恶意账户,但 Unit 42 现在报告说,自 2019 年 8 月以来,该威胁行为者已经在平台上创建并使用了超过 130,000 个账户,当时可以追踪到其活动的最初迹象。
此外,Unit 42 发现威胁行为者不仅将容器化组件用于挖矿,还用于在各种交易平台(包括 ExchangeMarket、crex24、Luno 和 CRATEX)上交易挖出的加密货币。
新的即玩即跑策略
Sysdig 注意到威胁行为者参与了“劫持”,试图利用分配给免费账户的任何可用资源,试图通过扩大其运营规模来赚取可观的利润。
Unit 42 确认劫持是 PurpleUrchin 运营的一个重要方面,但报告称“即玩即跑”策略也受到严重影响。
Play and Run 是威胁行为者使用付费资源牟利的术语,在本例中为加密货币挖矿,并拒绝支付账单,直到他们的账户被冻结。那时,他们放弃了他们并继续前进。
通常,PurpleUrchin 使用窃取的 PII 和信用卡数据在各种 VPS 和 CSP 平台上创建高级帐户,因此当他们留下未付债务时没有人可以追踪到他们。
“攻击者似乎还保留了完整的服务器或云实例,他们有时会使用 AHP 等 CSP 服务,”第 42 单元的报告解释说。
“他们这样做是为了方便托管监控和跟踪其大规模采矿作业所需的网络服务器。”
在这些情况下,威胁行为者会在失去访问权限之前利用尽可能多的 CPU 资源。
这与劫持活动中采用的策略形成鲜明对比,在劫持活动中,矿工仅使用服务器 CPU 能力的一小部分。
GitHub 验证码求解
Automated Libra 采用的一项著名技术是 CAPTCHA 解决系统,该系统可帮助他们在 GitHub 上创建多个帐户,而无需人工干预。
威胁行为者使用 ImageMagic 的“转换”工具将 CAPTCHA 图像转换为 RGB 等效图像,然后使用“识别”工具提取每个图像的红色通道偏度。
“识别”工具输出的值用于按升序对图像进行排名。最后,自动化工具使用表格来选择位于列表顶部的图像,通常是正确的图像。
该系统凸显了 Automated Libra 决心通过增加每分钟在 GitHub 上创建的帐户数量来实现更高的运营效率。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客利用验证码绕过在一个月内创建了2万个GitHub帐户
