Южноафриканская хак-группа Automated Libra ищет новые подходы к использованию ресурсов облачной платформы для майнинга криптовалюты. по данным Пало-Альто Сетив последнее время преступники используют новую систему для разгадывания CAPTCHA, более агрессивно злоупотребляют ресурсами TSP для майнинга, а также смешивают фриджекинг (фриджекинг) с техникой Play and Run.

Аналитики Sysdig прошлой осенью обнаружили первые автоматизированные операции Libra. Тогда исследователи назвали найденный вредоносный кластер PurpleUrchin и предположили, что эта группа специализируется на фриджекинге, то есть использует бесплатный или ограниченный по времени доступ к различным сервисам (GitHub, Heroku и Buddy) для добычи криптовалюты от своего имени.

Теперь специалисты Palo Alto Networks более подробно изучили деятельность этой группы, проанализировали более 250 ГБ собранных данных и собрали больше информации об инфраструктуре и методах злоумышленников.

По мнению экспертов, автоматизированные кампании этих преступников используют сервисы CI/CD, включая GitHub, Heroku, Buddy и Togglebox, для создания новых аккаунтов и запуска майнеров криптовалюты в контейнерах. Но если аналитики Sysdig выявили всего 3200 вредоносных аккаунтов, принадлежащих PurpleUrchin, то Palo Alto Networks сообщает, что с августа 2019 года хакеры создали и использовали более 130 000 аккаунтов на вышеупомянутых платформах.

Кроме того, выяснилось, что злоумышленники использовали контейнеры не только для майнинга, но и для торговли добытой криптовалютой на различных площадках, включая ExchangeMarket, crex24, Luno и CRATEX.

В то же время исследователи подтверждают, что фриджекинг является важным аспектом работы Automated Libra, но пишут, что тактика Play and Run также важна. Под этим термином обычно понимают преступников, которые используют платные ресурсы для получения прибыли (в данном случае с помощью майнинга криптовалюты), но отказываются оплачивать свои счета до тех пор, пока их счета не будут заморожены. После блока удаляют записанные записи и создают новые.

Как правило, Automated Libra использует украденные личные данные и информацию о банковских картах для создания премиум-аккаунтов на платформах VPS и CSP, оставляя за собой шлейф неоплаченных долгов.

«Похоже, злоумышленники резервировали для себя целые серверы или облачные экземпляры, а иногда использовали CSP-сервисы, такие как AHP. Они сделали это, чтобы упростить размещение веб-серверов, необходимых для мониторинга и отслеживания масштабных операций по майнингу», — пишут эксперты.

В таких случаях злоумышленники используют как можно больше ресурсов сервера, прежде чем потеряют доступ. Это резко контрастирует с тактикой фриджекинга, когда майнер старается оставаться незаметным и использует лишь малую часть мощности сервера.

Кроме того, как отмечают эксперты, интересной особенностью атак Automated Libra является система решения CAPTCHA, которая помогает хакерам автоматически создавать несколько учетных записей на GitHub. Для этого злоумышленники используют ImageMagic и конвертируют изображения CAPTCHA в их RGB-эквиваленты, а затем с помощью «identify» определяют асимметрию красного канала.

Полученные таким образом значения используются для ранжирования изображений в порядке возрастания, и автоматизированный инструмент выбирает изображение, возглавляющее результирующий список. Обычно именно так и оказывается правильно.