南非威胁组织利用云平台进行加密挖矿

关键要点

• 南非威胁组织Automated Libra在多种平台上创建了超过130,000个账户，以开展加密挖矿活动。
• 该组织利用云平台的免费试用，实施了被称为”freejacking”的攻击手法。
• 研究表明，威胁行为者通过自动化技术加速了这些攻击的规模。
• 云服务提供商和企业需要对此做出应对，更新相应的安全框架。

近日，研究人员揭露了当今威胁行为者如何迅速利用云计算，他们报告称，南非威胁组织AutomatedLibra在多个平台上创建了超过130,000个用户账户，诸如Heroku、Togglebox，以及，以进行加密挖矿操作。

在一篇中，Palo Alto Networks的Unit42研究人员表示，在收集了超过250GB的PurpleUrchin容器数据后，他们发现威胁行为者在2022年11月的高峰期间每分钟创建三到五个GitHub账户。此外，他们还发现一些自动账户创建的案例通过简单的图像分析技术绕过了CAPTCHA图形。

Unit42的研究人员指出，这些威胁行为者通过一种名为“freejacking”的手法进行，利用提供有限试用期的云平台。他们很可能使用盗取或虚假的信用卡创建假账户来实现。

通过这些免费试用，研究人员表示，威胁行为者利用了DevOps自动化技术，例如持续集成和持续开发（CI/CD）。他们通过在云平台上对用户账户创建进行容器化，并自动化其加密挖矿操作，从中获取了最大的效益。

据oak9的联合创始人兼首席技术官AakashShah所说，为开发人员构建和运营大规模而设计的自动化工具同样可以用于扩展信息安全攻击。他指出，研究表明，不仅仅是开发团队在利用基础设施即代码的自动化技术，攻击者也在越来越复杂化，借助自动化迅速发起攻击，而他们将费用留给云服务提供商和企业。

“CTOs苦苦挣扎于加速云计算和基础设施即代码的采用，而攻击者却能更快地采用这些技术进行恶意活动，这种对比十分明显。”Shah表示，“这些攻击者能够利用基础设施即代码自动化他们的整个攻击链，以扩展一种加密劫持攻击形式。显然，现在是时候更新MITRE
ATT&CK框架，以反映新的攻击者行为。CI/CD供应商和云服务提供商需对此引起重视，否则将承担相应的成本，更不用说声誉损失。”

Abnormal Security的威胁情报总监Crane Hassold表示，尽管Unit42报告中的战术依赖于创建大量虚假账户并利用免费试用，但相同的技术也可以用于利用企业妥协的云环境中的资源，实现相似的目标。

“这就是为什么云凭证在当今地下网络犯罪经济中如此珍贵的原因之一。”Hassold指出，“它们可以以多种方式被利用。”

Dig Security的联合创始人兼首席执行官Dan Benjamin补充道，针对云资源的威胁行为者正在变得越来越具攻击性。Unit42报告指出，随着更多企业投入云计算，出现了令人担忧的模式。

“窃取云资源仅仅是冰山一角，”Benjamin表示。“随着这些黑客组织因成功而变得更加胆大，我们应该期待更多直接窃取云中的关键资产，比如公司和/或客户数据的事件。尽管表面来看，freejacking似乎是一种没有受害者的犯罪，但如果这些滥用行为开始针对依赖云基础设施运营和数据存储的付费企业，可能会带来严重的后续后果。”