Automated Libra という脅威:GitHub CAPTCHA のバイパスで 20,000 アカウントを作成

Hackers use CAPTCHA bypass to make 20K GitHub accounts in a month

2023/01/05 BleepingComputer — Automated Libra と呼ばれる南アフリカの脅威アクターは、クラウド・プラットフォームのリソースを悪用した、暗号通貨マイニングから利益を得る手法を進化させている。Palo Alto Networks Unit 42 によると、この脅威アクターは、新しい CAPTCHA 解決システムをマイニングに用いて、CPU リソースを積極的に悪用している。また、Feejacking と Play and Run を組み合わせて、クラウド・リソースを無料で乱用しているとのことだ。

Automated Libra とは、2022年10月に Sysdig のアナリストが暴露したものであり、一連の悪質なアクティビティは PurpleUrchin と名付けられ、また、Feejacking に専念していると考えられた。それらのアクティビティを深く掘り下げた Unit 42 は、250GB を超える収集データを分析することで、脅威アクターのインフラ/履歴/技術などの詳細にたどり着いた。


自動化された Libra の概要

この脅威アクターは、GitHub/Heroku/Buddy.works/Togglebox などの CI/CD (Continuous Integration and Deployment) サービス・プロバイダーを悪用するために、それらのプラットフォーム上に新しいアカウントを設定し、コンテナで暗号通貨マイナーを実行する自動化されたキャンペーンを実行している。

Sysdig が特定したのは、PurpleUrchin に属する 3,200件の悪意のアカウントだが、今回の Unit 42 の報告では、この脅威アクターが 2019年8月からプラットフォーム上に、13万以上のアカウントを作成したとされている。したがって、そのアクティビティの初期の兆候を追跡できるとしている。

Unit 42 の発見は、それだけに留まらない。この脅威アクターはコンテナ化されたコンポーネントをマイニングだけに使用しているわけではなく、ExchangeMarket/crex24/Luno/CRATEX などの各種取引プラットフォームで、マイニングした暗号通貨を取引するためにも使用していた。

新たな Play and Run の手口

Sysdig は、脅威アクターが Feejacking を行い、無料アカウントに割り当てられている利用可能なリソースを悪用しようとし、その運用を拡大することで、大きな利益を得ていることに気づいた。

Unit 42 も、PurpleUrchin の活動において Feejacking が重要な側面であることを確認しているが、Play and Run 戦略も大きく関与していると報告している。

Play and Run とは、脅威アクターが有料リソースを用いてクリプトマイニングなどを行い、アカウントが凍結されるまで支払いを拒否することを指す。その時点で、彼らは、それらを放棄して移動していく。

PurpleUrchin は、盗んだ PII とクレジットカードのデータを使用して、さまざまな VPS/CSP プラットフォームでプレミアムアカウントを作成し、未払い債務を残しても追跡されないようにしている。

Unit 42 のレポートには、「この脅威アクターは、フル・サーバまたはクラウド・インスタンスを予約するケースが多く、AHP のような CSP サービスを使用することもある。この行動の背景には、大規模なマイニングを監視/追跡するために必要な、Web サーバのホスティングを容易にするという目的がある」と記されている。

このようなケースにおける脅威アクターは、アクセス権を失う前に、可能な限り多くの CPU リソースを利用する。つまり、マイニングにおいて、サーバ CPU パワーのごく一部しか使用しない、Feejacking キャンペーンの戦術とは対照的なものになる。

GitHub CAPTCHA の解決

Automated Libra が採用した注目すべき手法の1つに、CAPTCHA 解決システムがある。このシステムは、GitHub 上で手作業を必要とせずに、多数のアカウントを作成するのに役立つ。

脅威者は、ImageMagic の convert ツールを用いて、CAPTCHA イメージを RGB 相当値に変換し、identify ツールを用いて、それぞれのイメージのレッド・チャンネル歪度を抽出している。

CAPTCHA and conversion
CAPTCHA and conversion (Unit 42)
Ranking images by the skewness value
Command to extract skewness value (top) and image ranking (bottom) (Unit 42)

この identify ツールで出力された値は、画像の昇順ランキングに使用される。 最終的に、この表を用いる自動化ツールにより、正しい画像とされる上位のものを選択できる。このシステムにより、GitHub で作成できる1分あたりのアカウント数が増大する。それは、より高い業務効率を実現しようという、Automated Libra の決意を浮き彫りにするものだ。

このブログには、初めて登場する Automated Libra ですが、自動化により GitHub の CAPTCHA を実質的に無効化し、大量のアカウントを作成/保持しているようです。今後の動きが、とても気になります。なお、この記事は、Automated Libra の技術力だけではなく、Feejacking と Play and Run という、クラウドのタダ乗り手法も丁寧に説明してくれています。さらに、参照元の Palo Alto Unit 42 の記事も日本語版が提供されていて、とても有り難いです。

%d bloggers like this: