الروبوتات روبيكارب

تم اكتشاف مجموعة تهديد تعرف باسم RUBYCARP تقوم بتشغيل شبكة الروبوتات المستمرة لإجراء تعدين العملات المشفرة ورفض الخدمة الموزعة (DDoS) وهجمات التصيد الاحتيالي. يعتقد الباحثون أن RUBYCARP له أصل روماني.

نشط لمدة لا تقل عن عقد من الزمن، يستخدم RUBYCARP شبكة الروبوتات الخاصة به في المقام الأول لتحقيق مكاسب مالية. تتضمن طريقة عملهم نشر الروبوتات من خلال العديد من الاستغلالات العامة وتقنيات القوة الغاشمة. تتواصل المجموعة من خلال شبكات IRC العامة والخاصة.

تشير النتائج الأولية إلى وجود تداخل محتمل بين RUBYCARP وكيان تهديد آخر يسمى Outlaw. تتمتع شركة Outlaw بسجل حافل من الانخراط في تعدين العملات المشفرة وهجمات القوة الغاشمة، ولكنها حولت التركيز مؤخرًا نحو حملات التصيد الاحتيالي والتصيد الاحتيالي لتوسيع نطاق أهدافها.

قد تقوم RUBYCARP بتوسيع أساليب الهجوم الخاصة بها

غالبًا ما تغري رسائل البريد الإلكتروني التصيدية هذه المستلمين بالكشف عن معلومات خاصة، مثل بيانات اعتماد تسجيل الدخول أو التفاصيل المالية. جانب آخر جدير بالملاحظة من تكتيكات RUBYCARP يتضمن استخدام برنامج ضار يُعرف باسم ShellBot (المعروف أيضًا باسم PerlBot) للتسلل إلى البيئات المستهدفة. بالإضافة إلى ذلك، فقد لوحظ أنهم يستغلون الثغرات الأمنية داخل Laravel Framework (على سبيل المثال، CVE-2021-3129)، وهي طريقة تستخدمها أيضًا الجهات الفاعلة الأخرى في مجال التهديد مثل AndroxGh0st .

وفي إشارة إلى قيام المهاجمين بتوسيع مجموعة تقنيات الوصول الأولية الخاصة بهم لتوسيع نطاق شبكة الروبوتات، كشف الباحثون عن حالات لمواقع WordPress التي تم اختراقها من خلال أسماء المستخدمين وكلمات المرور شائعة الاستخدام.

عند الدخول، يتم زرع باب خلفي بناءً على تهديد يُعرف باسم Perl ShellBot. بعد ذلك، يتم ربط خادم الضحية بخادم IRC (Internet Relay Chat) الذي يعمل بمثابة القيادة والتحكم (C2)، ويتم دمجه في شبكة الروبوتات الأكبر.

من المقدر أن يتجاوز حجم شبكة الروبوتات 600 مضيف، مع إنشاء خادم IRC ('chat.juicessh.pro') في 1 مايو 2023. ويعتمد بشكل كبير على IRC للاتصالات العامة، وكذلك لتنظيم شبكات الروبوت وتنسيق عمليات تعدين العملات المشفرة.

علاوة على ذلك، تم التعرف على أعضاء المجموعة وهم يتواصلون عبر قناة Undernet IRC المسماة #cristi. بالإضافة إلى ذلك، يستخدمون أداة الماسح الضوئي الشامل لتحديد المضيفين الجدد المحتملين.

يستغل مجرمو الإنترنت في RUBYCARP العديد من مصادر الدخل الاحتيالية

لم يكن ظهور RUBYCARP في مشهد التهديدات السيبرانية مفاجئًا، نظرًا لقدرتهم على الاستفادة من شبكة الروبوتات الخاصة بهم للوصول إلى مصادر الدخل غير المشروعة المختلفة، بما في ذلك عمليات التعدين والتصيد الاحتيالي التي تهدف إلى جمع أرقام بطاقات الائتمان.

كما اكتشف الباحثون، كان تعدين العملات المشفرة هو الدافع الأساسي لمجموعة الجرائم الإلكترونية منذ أيامها الأولى. وبينما طورت المجموعة تكتيكاتها، وتفرعت إلى أنشطة مثل التصيد الاحتيالي وهجمات DDoS، ظل تعدين العملات المشفرة سعيًا ثابتًا طوال تاريخها.

على الرغم من أنه يبدو أن بيانات بطاقة الائتمان التي تم جمعها تُستخدم في المقام الأول للحصول على البنية التحتية للهجوم، إلا أنه من الممكن أيضًا استخدام وسائل بديلة لتحقيق الدخل، مثل بيع المعلومات داخل عالم الجرائم الإلكترونية السري.

علاوة على ذلك، تشارك الجهات الفاعلة في مجال التهديد في تطوير وبيع الأسلحة السيبرانية، وهي ممارسة غير شائعة نسبيًا. ومع ترسانة واسعة من الأدوات المتراكمة على مر السنين، فإنها تتمتع بمرونة كبيرة في تنفيذ عملياتها.