Palo Alto Networks Unit 42 heeft een onderzoek naar PurpleUrchin gepubliceerd. Dit is een freejacking-campagne om cryptomining-activiteiten uit te voeren via cloudplatformen die een account met een gratis proefperiode aanbieden. Unit 42 heeft deze groep Automated Libra genoemd. De groep heeft meer dan 130.000 accounts aangemaakt op verschillende platforms, waaronder Heroku, Togglebox en GitHub, om cryptomining-activiteiten uit te voeren.
Er zijn meer dan 130.000 gebruikersaccounts gecreëerd op verschillende platforms, waaronder Heroku, Togglebox en GitHub, om cryptomining-operaties uit te voeren. Bij GitHub gebruikte de groep een optie om accounts automatische aan te maken waarbij CAPTCHA-afbeeldingen omzeild werden met behulp van eenvoudige beeldanalysetechnieken.
Unit 42 verzamelde meer dan 250 GB aan containerdata die voor de PurpleUrchin-operatie waren aangemaakt en ontdekte dat de dreigingsactoren achter deze campagne tijdens het hoogtepunt van hun operaties in november 2022 elke minuut 3 tot 5 GitHub-accounts aanmaakten.
De dreigingsactoren konden cryptomining uitvoeren via een tactiek die freejacking wordt genoemd, waarbij de actoren gebruikmaken van cloudplatforms die cloudresources voor een proefperiode aanbieden. Ze maakten waarschijnlijk valse accounts aan met gestolen of valse creditcards. De groep stal ook cloudbronnen van verschillende platforms voor clouddiensten via een tactiek die Unit 42-onderzoekers "Play and Run" noemen. Deze tactiek houdt in dat kwaadwillenden cloudresources gebruiken en weigeren voor deze resources te betalen zodra de rekening komt.
Met deze gratis proefversies konden de dreigingsactoren het maximale eruit halen door gebruik te maken van DevOps-automatiseringstechnieken zoals continue integratie en continue ontwikkeling (CI/CD). Ze bereikten dit door het aanmaken van gebruikersaccounts op cloudplatforms te containeren en door hun cryptominingoperaties te automatiseren. Ze automatiseerden ook het proces voor het aanmaken van containers, zodat de nieuwe accounts die ze aanmaakten werden gebruikt bij de mining-activiteiten.