RUBYCARP ботнет

Група за заплаха, известна като RUBYCARP, беше открита, управляваща постоянна ботнет за извършване на крипто копаене, разпределен отказ на услуга (DDoS) и фишинг атаки. Изследователите смятат, че RUBYCARP има румънски произход.

Активен от минимум десетилетие, RUBYCARP използва своята ботнет предимно за финансови печалби. Техният начин на действие включва разгръщане на ботнет чрез различни публични експлойти и техники за груба сила. Групата комуникира чрез публични и частни IRC мрежи.

Първоначалните открития предполагат потенциално припокриване между RUBYCARP и друга заплаха, наречена Outlaw. Outlaw има опит в участието си в крипто копаене и атаки с груба сила, но наскоро измести фокуса си към фишинг и фишинг кампании, за да разшири обхвата си на цели.

RUBYCARP може да разширява своите методи за атака

Тези фишинг имейли често примамват получателите да разкрият лична информация, като идентификационни данни за вход или финансови данни. Друг забележителен аспект на тактиката на RUBYCARP включва използването на зловреден софтуер, известен като ShellBot (също разпознат като PerlBot), за проникване в целеви среди. Освен това, те са наблюдавани да експлоатират уязвимости в сигурността в Laravel Framework (напр. CVE-2021-3129), метод, използван и от други заплахи като AndroxGh0st .

Като индикация, че нападателите разширяват своя набор от техники за първоначален достъп, за да разширят мащаба на ботнета, изследователите разкриха случаи на компрометирани сайтове на WordPress чрез често използвани потребителски имена и пароли.

При влизане се имплантира задна врата въз основа на заплаха, известна като Perl ShellBot. Впоследствие сървърът на жертвата е свързан с IRC (Internet Relay Chat) сървър, функциониращ като Command-and-Control (C2), интегриращ се в по-голямата ботнет.

Размерът на ботнета се оценява на над 600 хоста, като IRC сървърът („chat.juicessh.pro“) е създаден на 1 май 2023 г. Той силно разчита на IRC за обща комуникация, както и за оркестриране на ботнет мрежи и координиране на операции за криптодобив.

Освен това членовете на групата са идентифицирани, комуникиращи чрез Undernet IRC канал на име #cristi. Освен това те използват инструмент за масово сканиране, за да идентифицират потенциални нови хостове.

RUBYCARP Киберпрестъпниците експлоатират множество измамни потоци от доходи

Появата на RUBYCARP в пейзажа на киберзаплахите не е голяма изненада, като се има предвид способността им да използват своята ботнет мрежа за достъп до различни незаконни потоци от доходи, включително криптокопаене и фишинг операции, насочени към събиране на номера на кредитни карти.

Както изследователите са разкрили, криптокопаенето е основната мотивация на групата за киберпрестъпления от ранните дни. Въпреки че групата е развила своята тактика, разклонявайки се в дейности като фишинг и DDoS атаки, криптокопаенето остава последователно преследване през цялата си история.

Въпреки че изглежда, че събраните данни от кредитни карти се използват предимно за придобиване на инфраструктура за атака, възможни са и алтернативни начини за монетизиране, като например продажба на информацията в тайните киберпрестъпления.

Освен това участниците в заплахите са ангажирани в разработването и продажбата на кибероръжия, сравнително необичайна практика. С огромен арсенал от инструменти, натрупан през годините, те притежават значителна гъвкавост при изпълнение на своите операции.