Ein in Südafrika ansässiger Bedrohungsakteur mit dem Namen Automated Libra wurde dabei beobachtet, wie er im Rahmen einer Freejacking-Kampagne mit dem Namen PURPLEURCHIN CAPTCHA-Umgehungstechniken anwendet, um GitHub-Konten programmatisch zu erstellen.
Die Gruppe hat es vor allem auf Cloud-Plattformen abgesehen, die zeitlich begrenzte Testversionen von Cloud-Ressourcen anbieten, um Krypto-Mining zu betreiben“, so die Palo Alto Networks Unit 42 Forscher William Gamazo und Nathaniel Quist.
PURPLEURCHIN wurde zum ersten Mal im Oktober 2022 bekannt, als Sysdig enthüllte, dass der Angreifer 30 GitHub-Konten, 2.000 Heroku-Konten und 900 Buddy-Konten eingerichtet hatte, um seinen Betrieb zu erweitern.
Laut Unit 42 erstellte die Gruppe der Cloud-Bedrohungsakteure auf dem Höhepunkt ihrer Aktivitäten im November 2022 jede Minute drei bis fünf GitHub-Konten und richtete insgesamt über 130.000 gefälschte Konten bei Heroku, Togglebox und GitHub ein.
Es wird geschätzt, dass zwischen September und November 2022 mehr als 22.000 GitHub-Konten erstellt wurden: drei im September, 1.652 im Oktober und 20.725 im November. Außerdem wurden insgesamt 100.723 einzigartige Heroku-Konten identifiziert.
Das Cybersecurity-Unternehmen bezeichnete den Missbrauch von Cloud-Ressourcen auch als eine „Play and Run“-Taktik, die darauf abzielt, die Rechnung des Plattformanbieters nicht zu bezahlen, indem gefälschte oder gestohlene Kreditkarten zur Erstellung von Premium-Konten verwendet werden.
Die Analyse von 250 GB Daten zeigt, dass das früheste Anzeichen für die Krypto-Kampagne vor fast 3,5 Jahren, im August 2019, stattfand und dass mehr als 40 Wallets und sieben verschiedene Kryptowährungen verwendet wurden.
Die Kernidee, die hinter PURPLEURCHIN steckt, ist die Ausbeutung von Rechenressourcen, die kostenlosen und Premium-Konten bei Cloud-Diensten zugewiesen werden, um massenhaft monetäre Gewinne zu erzielen, bevor der Zugang wegen Nichtbezahlung der Gebühren verloren geht.
Neben der Automatisierung der Kontoerstellung durch den Einsatz legitimer Tools wie xdotool und ImageMagick wurde auch festgestellt, dass die Bedrohungsakteure eine Schwäche der CAPTCHA-Prüfung auf GitHub ausnutzen, um ihre illegalen Ziele zu erreichen.
Dazu wird der Befehl convert von ImageMagick verwendet, um die CAPTCHA-Bilder in ihre RGB-Komplemente umzuwandeln. Anschließend wird der Befehl identify verwendet, um die Schiefe des roten Kanals zu extrahieren und den kleinsten Wert auszuwählen.
Sobald die Kontoerstellung erfolgreich war, erstellt Automated Libra ein GitHub-Repository und setzt Workflows ein, die es ermöglichen, externe Bash-Skripte und Container zum Starten der Krypto-Mining-Funktionen zu starten.
Die Ergebnisse zeigen, wie die Freejacking-Kampagne zur Gewinnmaximierung eingesetzt werden kann, indem die Anzahl der Konten, die pro Minute auf diesen Plattformen erstellt werden können, erhöht wird.
„Es ist wichtig zu wissen, dass Automated Libra seine Infrastruktur so gestaltet, dass die CD/CI-Tools optimal genutzt werden“, so die Forscher.
„Dies wird im Laufe der Zeit immer einfacher, da die traditionellen VSPs ihr Dienstleistungsportfolio um Cloud-Dienste erweitern. Die Verfügbarkeit dieser Cloud-Dienste macht es für Bedrohungsakteure einfacher, da sie keine Infrastruktur für die Bereitstellung ihrer Anwendungen unterhalten müssen.“