Malafide cryptodelvers omzeilen reactietest cloudhubs

Palo Alto Network’s onderzoektak Unit 42 deelt details over PurpleUrchin van Automated Libra

De securityonderzoek en -adviestak van Palo Alto Networks, Unit 42, deelt details over PurpleUrchin. Dat is een malafide campagne om cryptomining-activiteiten uit te voeren via accounts voor een gratis proefperiode op cloudplatformen. Ze omzeilen onder meer de reactietest en maken zo geautomatiseerd tienduizenden accounts aan.

De Amerikaanse netwerkbeveiliger noemt de groep Automated Libra en ontdekte dat het hackerscollectief meer dan 130.000 accounts heeft aangemaakt op verschillende platformen, waaronder Heroku, Togglebox en GitHub.

Bij GitHub gebruikte de groep een optie om accounts automatisch aan te maken waarbij captcha-afbeeldingen omzeild worden met behulp van eenvoudige beeldanalysetechnieken. Captcha is een reactietest om te onderscheiden of een account wordt aangemaakt door een mens of door computer. Het gaat bijvoorbeeld om een reeks van cijfers en letters die ter verificatie moet worden overgetypt.

Unit 42 verzamelde meer dan 250 GB aan containerdata die voor de PurpleUrchin-operatie waren aangemaakt en ontdekte dat de dreigingsactoren achter deze campagne tijdens het hoogtepunt van hun operaties in november 2022 elke minuut drie tot vijf GitHub-accounts aanmaakten.

‘Freejacking’ en ‘pPlay and run’

De dreigingsactoren konden cryptomining uitvoeren via een tactiek die 'freejacking' wordt genoemd, waarbij de actoren gebruikmaken van cloudplatformen die cloudresources voor een proefperiode aanbieden. Ze maakten waarschijnlijk valse accounts aan met gestolen of valse creditcards. De groep stal ook cloudbronnen van verschillende platforms voor clouddiensten via een tactiek die Unit 42-onderzoekers 'play and run' noemen. Daarbij gebruiken kwaadwillenden clouddiensten en weigeren ze om te betalen zodra de rekening komt.

De security-onderzoekers zagen ook dat de cybercriminelen de capaciteit van de cloudplatformen optimaliseerden door gebruik te maken van devops-automatiseringstechnieken zoals continue integratie en continue ontwikkeling. ‘Ze bereikten dit door het aanmaken van gebruikersaccounts op cloudplatformen te ontwikkelen via containers en door hun cryptominingoperaties te automatiseren. Ze automatiseerden ook het proces voor het aanmaken van containers, zodat de nieuwe accounts die ze aanmaakten, werden gebruikt bij de mining-activiteiten.’

Cryptojacking

Het kapen van rekenkracht voor het delven van cryptomunten neemt sinds 2020 enorm toe. Er zijn meerdere methoden om dat te doen en dat gebeurt bijvoorbeeld ook via trojans die vaak ongezien de servercapaciteit van grote bedrijfsnetwerken kapen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2023-01-06T11:59:00.000Z Pim van der Beek


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.