Южноафриканская хак-группа Automated Libra ищет новые подходы для использования ресурсов облачных платформ для майнинга криптовалюты. По данным Palo Alto Networks, в последнее время злоумышленники используют новую систему для решения CAPTCHA, более агрессивно злоупотребляют ресурсами ЦП для майнинга, а также смешивают фриджекинг (freejacking) с техникой Play and Run.
Впервые операции Automated Libra были обнаружены аналитиками Sysdig осенью прошлого года. Тогда исследователи назвали найденный вредоносный кластер PurpleUrchin и предположили, что эта группировка специализируется на фриджекинге, то есть злоупотребляют бесплатным или ограниченным по времени доступом к различным сервисами (GitHub, Heroku и Buddy) для майнинга криптовалюты за их счет.
Теперь эксперты Palo Alto Networks изучили активность этой группировки более детально, проанализировав более 250 ГБ собранных данных и собрав больше информации об инфраструктуре и методах злоумышленников.
По информации экспертов, автоматизированные кампании этих злоумышленников злоупотребляют CI/CD сервисами, включая GitHub, Heroku, Buddy и Togglebox, для создания новых учетных записей и запуска майнеров криптовалюты в контейнерах. Но если аналитики Sysdig выявили только 3200 вредоносных учетных записей, принадлежащих PurpleUrchin, то Palo Alto Networks сообщает, что с августа 2019 года хакеры создали и использовали более 130 000 учетных записей на упомянутых платформах.
Кроме того, выяснилось, что злоумышленники использовали контейнеры не только для самого майнинга, но и для торговли добытой криптовалютой на различных платформах, включая ExchangeMarket, crex24, Luno и CRATEX.
При этом исследователи подтверждают, что фриджекинг является важным аспектом операций Automated Libra , но пишут, что тактика Play and Run тоже имеет большое значение. Таким термином обычно обозначают злоумышленников, использующих платные ресурсы для получения прибыли (в данном случае с помощью майнинга криптовалюты), но отказывающихся оплачивать счета, пока их аккаунты заморозят. После блокировки они бросают учтенные записи и создают новые.
Как правило, Automated Libra использует украденные личные данные и информацию банковских карт для создания премиум-аккаунтов на платформах VPS и CSP, оставляя за собой «шлейф» из невыплаченных долгов.
«Похоже, злоумышленники резервировали для себя целые серверы или облачные инстансы, а иногда использовали CSP-сервисы, такие как AHP. Они делали это, чтобы облегчить себе размещение веб-серверов, которые необходимы для мониторинга и отслеживания их масштабных майнинговых операций», — пишут эксперты.
В таких случаях злоумышленники используют как можно больше ресурсов сервера, прежде чем лишатся доступа. Это резко контрастирует с тактикой фриджекинга, когда майнер старается оставить незаметным и использует лишь крошечную часть мощностей сервера.
Кроме того, как отмечают эксперты, интересной особенностью атак Automated Libra является система решения CAPTCHA, которая помогает хакерам создавать множество учетных записей на GitHub автоматически. Для этого злоумышленники используют ImageMagic и преобразуют изображения CAPTCHA в их RGB-эквиваленты, а затем используют «identify» для определения асимметрии красного канала.
Полученные таким образом значения используются для ранжирования изображений в порядке возрастания, и автоматизированный инструмент выбирает изображение, возглавляющее полученный список. Обычно, именно оно и оказывается правильным.