'Otomatik Terazi' olarak bilinen Güney Afrika tehdit aktörleri, kripto para madenciliği için bulut platform kaynaklarını kullanarak kar elde etme tekniklerini geliştiriyor.
Palo Alto Networks Unit 42'ye göre, tehdit aktörleri yeni bir Captcha çözme sistemi kullanıyor, madencilik için CPU kaynaklarının daha agresif bir kullanımını takip ediyor ve ücretsiz bulut kaynaklarını kötüye kullanmak için "Play and Run" tekniği ile 'freeJacking'i karıştırıyor.
'Otomatik Terazi' ilk olarak Ekim 2022'de Sysdig'deki analistler tarafından maruz kaldı ve kötü niyetli faaliyet kümesini 'morleurchin' olarak adlandırdı ve grubun serbest çalışma işlemlerine ayrıldığına inanıyor.
Ünite 42, 250 GB'tan fazla toplanan veriyi analiz ederek ve tehdit oyuncunun altyapısı, tarihi ve teknikleri hakkında çok daha fazla şey ortaya çıkararak bu işlemin derinliklerine dalmıştır.
Tehdit oyuncusu, platformlarda yeni hesaplar ayarlamak ve kapsayıcılardaki kripto para madencilerini çalıştırmak için GitHub, Heroku, Buddy.Works ve Togglebox gibi sürekli entegrasyon ve dağıtım (CI/CD) hizmet sağlayıcılarını kötüye kullanan otomatik kampanyalar yürütüyor.
Sysdig, 'Purpleurchin'e ait 3.200 kötü amaçlı hesap tanımlarken, Birim 42, tehdit oyuncusunun, faaliyetlerinin ilk işaretlerinin izlenebileceği Ağustos 2019'dan bu yana platformlarda 130.000'den fazla hesap oluşturduğunu ve kullandığını bildiriyor.
Buna ek olarak, Birim 42, tehdit oyuncusunun sadece madencilik için kapsayıcı bileşenleri kullanmadığını, aynı zamanda Mined Kripto para birimini Exchangemarket, Crex24, Luno ve Cratex dahil olmak üzere çeşitli ticaret platformlarında ticareti için keşfetti.
Sysdig, 'serbest hesaplara tahsis edilen her türlü kaynaktan yararlanmaya çalışarak, operasyonunu ölçeklendirerek önemli bir kâr elde etmeye çalışarak' Freacking 'ile uğraşan tehdit aktörlerinin fark etti.
Ünite 42, FreeJicing'in Purpleurchin'in operasyonlarının önemli bir yönü olduğunu doğrular, ancak "oyun ve koş" stratejisinin de yoğun bir şekilde ilişkili olduğunu bildirir.
Play and Run, kar için ücretli kaynakları kullanan tehdit aktörleri için bir terim, bu durumda kriptominasyon ve hesapları donana kadar faturaları ödemeyi reddediyor. Bu noktada, onları terk ederler ve devam ederler.
Tipik olarak, Purpleurchin çeşitli VP'lerde ve CSP platformlarında premium hesaplar oluşturmak için çalıntı PII ve kredi kartı verilerini kullanır, böylece kimse ödenmemiş borçlardan ayrıldıklarında onları izleyemez.
Ünite 42 raporunu, "Aktör ayrıca tam bir sunucu veya bulut örnekleri ayırıyor gibi görünüyordu ve bazen AHPS gibi CSP hizmetleri kullandılar."
Diyerek şöyle devam etti: "Büyük ölçekli madencilik operasyonlarını izlemek ve izlemek için gereken web sunucularını barındırmayı kolaylaştırmak için yaptılar."
Bu durumlarda, tehdit oyuncusu ona erişimi kaybetmeden önce mümkün olduğunca çok CPU kaynağı kullanır.
Bu, madencinin sunucunun CPU gücünün sadece küçük bir kısmını kullandığı serbest jacking kampanyalarında izlenen taktiği kontrast oluşturur.
Otomatik Terazi tarafından kullanılan dikkate değer bir teknik, manuel müdahale gerektirmeden GitHub'da birçok hesap oluşturmalarına yardımcı olan bir captcha çözme sistemidir.
Tehdit aktörleri, Captcha görüntülerini RGB eşdeğerlerine dönüştürmek için Imagemagic'in "Dönüştür" aracını kullanır ve ardından her görüntü için kırmızı kanal çarpıklığını çıkarmak için "Tanımlama" aracını kullanır.
“Tanımlama” aracı tarafından verilen değer, görüntüleri artan sırada sıralamak için kullanılır. Son olarak, otomatik araç tabloyu, genellikle doğru olan listenin en üstünde olan görüntüyü seçmek için kullanır.
Bu sistem, GitHub'da oluşturabilecekleri dakikada hesap sayısını artırarak daha yüksek operasyonel verimlilik elde etmek için otomatik Terazi'nin belirlenmesini vurgulamaktadır.
Slack'in özel Github kodu depoları tatillerde çalındı
Github depoları hacklendikten sonra OKTA'nın kaynak kodu çalındı
GitHub, tüm kullanıcıların 2023 sonuna kadar 2FA'yı etkinleştirmesini isteyecek
Github, tüm kamu depoları için ücretsiz gizli tarama yapıyor
Hackers, Proot İzole edilmiş dosya sistemlerini kullanarak Linux Cihazlarını Kaçırma
Kaynak: Bleeping Computer