不正クリプトマイニング「PurpleUrchin」を実現してしまった“あのツール”とは“凶器”になるクラウドサービス【後編】

サイバー攻撃集団Automated Libraは、不正なクリプトマイニング(暗号資産発掘)の攻撃キャンペーン「PurpleUrchin」を実現するために、さまざまなITツールや手法を駆使した。何を使ったのか。

2023年03月15日 08時15分 公開
[Alex ScroxtonTechTarget]

 サイバー攻撃集団Automated Libraは攻撃キャンペーン(一連の攻撃)「PurpleUrchin」を実行する際、クラウドサービスに加えて、さまざまなITツールを駆使した。PurpleUrchinは、不正なクリプトマイニング(暗号資産採掘)の攻撃キャンペーンだ。

「PurpleUrchin」を可能にした“あのツール”

 Automated LibraはPurpleUrchinを可能にするために「継続的インテグレーション/継続的デリバリー」(CI/CD)ツールを利用している。複数の暗号資産取引サービスにおいてAutomated Libraは、取引を自動化する際にCI/CDツールとクラウドサービスで構築したシステムを使用したとみられる。

 クラウドサービスでの無料または期間限定の試用アカウントを悪用してクリプトマイニングを実行する「フリージャッキング」。Automated Libraがこのフリージャッキングを実施する上で、「コンテナ」が重要な役割を果たしたと考えられる。必要な機能やツール一式をコンテナ化することで、標的のクラウドサービス自体に影響を与えることなく、攻撃用システムの実行や更新、終了、交換が可能になるからだ。

 Automated Libraはクレジットカードを盗んだり、偽造したりしていたと、セキュリティベンダーPalo Alto Networksの研究チームUnit 42は説明する。Unit 42は、これらのクレジットカードを使って、以下が可能なことを確認した。

  • 「GitHub」「Heroku」「Togglebox」などのサービスで13万件以上の偽アカウントを作成、利用できること
  • クリプトマイニングを自動化するために、CI/CDツールを用いて、偽アカウントの発行と運用を自動化する仕組みを構築できること

 Unit 42は他にも、標的が気付く前にできるだけ長くCPUを使用できるようにする方法も確認した。これは訪問者が人であることを確認する偽アカウント排除技術「CAPTCHA」(Completely Automated Public Turing Test to Tell Computers and Humans Apart)を回避・突破したり、作成アカウント数を増やしたりすることで可能になったという。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news112.jpg

「インクルーシブマーケティング」実践のポイントは? ネオマーケティングが支援サービスを提供
ネオマーケティングは、インクルーシブマーケティングの実践に向けたサービスを開始した...

news135.jpg

Xが新規アカウントに課金するとユーザーはどれほど影響を受ける? そしてそれは本当にbot対策になるのか?
Xが新規利用者を対象に、課金制を導入する方針を表明した。botの排除が目的だというが、...

news095.jpg

Googleの次世代AIモデル「Gemini 1.5」を統合 コカ・コーラやロレアルにも信頼される「WPP Open」とは?
世界最大級の広告会社であるWPPはGoogle Cloudと協業を開始した。キャンペーンの最適化、...