Los investigadores de Unit 42, el equipo de investigación y análisis en inteligencia de amenazas de Palo Alto Networks, realizaron una inmersión profunda en Automated Libra, un grupo en la nube detrás de la campaña de piratería PurpleUrchin.
Automated Libra es un grupo de freejacking con sede en Sudáfrica que se enfoca principalmente en plataformas en la nube las cuales ofrecen pruebas de recursos por tiempo limitado para realizar sus operaciones de criptominería. Freejacking es el proceso de utilizar recursos de la nube gratuitos (o de tiempo limitado) para realizar operaciones de criptominería.
Este grupo creó más de 130,000 cuentas de usuario en varias plataformas, incluidas Heroku, Togglebox y GitHub, para realizar operaciones de criptominería probablemente con cuentas falsas de tarjetas de crédito robadas. Con GitHub, crearon perfiles automatizados para eludir las imágenes CAPTCHA usando técnicas simples de análisis de imágenes y crear sus cuentas.
Unit 42 recopiló más de 250 GB de datos en contenedores creados para la operación PurpleUrchin y descubrió que los actores de amenazas detrás de esta campaña inventaban de 3 a 5 cuentas de GitHub cada minuto durante el pico de sus operaciones en noviembre de 2022.
El grupo también robó recursos de la nube de varias plataformas de servicios en la nube a través de una táctica que los investigadores de Unit 42 llaman “Play and Run“. Esta táctica involucra a personas con fines maliciosos que usan recursos de la nube y se niegan a pagar una vez que llega la factura.
Los ciber delincuentes aprovecharon al máximo estas pruebas gratuitas, al usar técnicas de automatización de DevOps, como integración continua y desarrollo continuo (CI/CD). Al contener las creaciones de cuentas de usuario en plataformas en la nube y al automatizar sus operaciones de criptominería. También automatizaron el proceso de creación de contenedores para garantizar que las nuevas cuentas que crearon se usaran en las operaciones de criptominería.
Para evitar este tipo de amenazas, Palo Alto Networks Prisma Cloud, tiene la capacidad de monitorear el uso de los recursos de la nube, específicamente aquellos iniciados dentro de un entorno en contenedores. La capacidad de Prisma Cloud para escanear todos los contenedores en busca de vulnerabilidades y mal uso antes de la implementación, así como monitorear el estado de tiempo de ejecución de estos contenedores, evitaría que las actividades de Automated Libra persistan en un entorno de nube.La información completa del análisis realizado por Unit 42 se puede consultar en: https://unit42.paloaltonetworks.com/purpleurchin-steals-cloud-resources