রুবিকার্প বটনেট

RUBYCARP নামে পরিচিত একটি হুমকি গোষ্ঠী সনাক্ত করা হয়েছে ক্রিপ্টো মাইনিং, ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস (DDoS) এবং ফিশিং আক্রমণ পরিচালনার জন্য একটি অবিরাম বটনেট পরিচালনা করছে। গবেষকরা বিশ্বাস করেন যে RUBYCARP এর রোমানিয়ান উত্স রয়েছে।

ন্যূনতম এক দশক ধরে সক্রিয়, RUBYCARP তার বটনেটকে প্রাথমিকভাবে আর্থিক লাভের জন্য ব্যবহার করে। তাদের মোডাস অপারেন্ডির মধ্যে রয়েছে বিভিন্ন জনসাধারণের শোষণ এবং নৃশংস শক্তি কৌশলের মাধ্যমে একটি বটনেট স্থাপন করা। দলটি পাবলিক এবং প্রাইভেট উভয় IRC নেটওয়ার্কের মাধ্যমে যোগাযোগ করে।

প্রাথমিক অনুসন্ধানগুলি RUBYCARP এবং Outlaw নামে আরেকটি হুমকি সত্তার মধ্যে সম্ভাব্য ওভারল্যাপের পরামর্শ দেয়। আউটল-এর ক্রিপ্টো মাইনিং এবং ব্রুট-ফোর্স আক্রমণে জড়িত থাকার ট্র্যাক রেকর্ড রয়েছে কিন্তু সম্প্রতি তাদের লক্ষ্যের পরিধি বিস্তৃত করতে ফিশিং এবং বর্শা-ফিশিং প্রচারাভিযানের দিকে মনোনিবেশ করেছে।

RUBYCARP তার আক্রমণের পদ্ধতি প্রসারিত করতে পারে

এই ফিশিং ইমেলগুলি প্রায়ই প্রাপকদের ব্যক্তিগত মালিকানাধীন তথ্য, যেমন লগইন শংসাপত্র বা আর্থিক বিবরণ প্রকাশ করতে প্রলুব্ধ করে৷ RUBYCARP-এর কৌশলগুলির আরেকটি উল্লেখযোগ্য দিক হল লক্ষ্যবস্তুতে অনুপ্রবেশের জন্য ShellBot নামে পরিচিত একটি ম্যালওয়্যার (যা পার্লবট নামেও স্বীকৃত) নিযুক্ত করা জড়িত। উপরন্তু, তারা লারাভেল ফ্রেমওয়ার্কের (যেমন, CVE-2021-3129) মধ্যে নিরাপত্তা দুর্বলতাকে কাজে লাগাতে দেখা গেছে, একটি পদ্ধতি যা AndroxGh0st এর মতো অন্যান্য হুমকি অভিনেতাদের দ্বারাও ব্যবহার করা হয়েছে।

আক্রমণকারীরা বটনেটের স্কেল প্রসারিত করার জন্য তাদের প্রাথমিক অ্যাক্সেস কৌশলগুলির বিন্যাসকে প্রসারিত করার ইঙ্গিত হিসাবে, গবেষকরা ওয়ার্ডপ্রেস সাইটগুলি সাধারণত ব্যবহৃত ব্যবহারকারীর নাম এবং পাসওয়ার্ডগুলির মাধ্যমে আপস করার উদাহরণ প্রকাশ করেছেন৷

প্রবেশ করার পরে, পার্ল শেলবট নামে পরিচিত একটি হুমকির ভিত্তিতে একটি ব্যাকডোর বসানো হয়। পরবর্তীকালে, শিকারের সার্ভারটি একটি IRC (ইন্টারনেট রিলে চ্যাট) সার্ভারের সাথে সংযুক্ত থাকে যা কমান্ড-এন্ড-কন্ট্রোল (C2) হিসাবে কাজ করে, বৃহত্তর বটনেটের সাথে একীভূত হয়।

1 মে, 2023-এ প্রতিষ্ঠিত IRC সার্ভার ('chat.juicessh.pro') সহ বটনেটের আকার 600 হোস্টকে ছাড়িয়ে যাবে বলে অনুমান করা হয়েছে। এটি সাধারণ যোগাযোগের জন্য, সেইসাথে বটনেট অর্কেস্ট্রেট করা এবং ক্রিপ্টোমিনিং ক্রিয়াকলাপগুলির সমন্বয়ের জন্য IRC-এর উপর ব্যাপকভাবে নির্ভর করে।

তাছাড়া, #cristi নামে একটি আন্ডারনেট আইআরসি চ্যানেলের মাধ্যমে যোগাযোগ করার জন্য গ্রুপের সদস্যদের চিহ্নিত করা হয়েছে। উপরন্তু, তারা সম্ভাব্য নতুন হোস্ট সনাক্ত করতে একটি ভর স্ক্যানার টুল ব্যবহার করে।

RUBYCARP সাইবার অপরাধীরা অসংখ্য প্রতারণামূলক আয় স্ট্রীম শোষণ করে

সাইবার হুমকির ল্যান্ডস্কেপে RUBYCARP-এর আবির্ভাব সামান্য বিস্ময়কর, ক্রেডিট কার্ড নম্বর সংগ্রহের লক্ষ্যে ক্রিপ্টোমিনিং এবং ফিশিং ক্রিয়াকলাপ সহ বিভিন্ন অবৈধ আয়ের স্ট্রীম অ্যাক্সেস করতে তাদের বটনেট ব্যবহার করার ক্ষমতার কারণে।

গবেষকরা যেমন উদ্ঘাটন করেছেন, ক্রিপ্টোমিনিং সাইবার ক্রাইম গ্রুপের প্রাথমিক অনুপ্রেরণা তার প্রথম দিন থেকেই। যদিও গোষ্ঠীটি তার কৌশলগুলিকে বিকশিত করেছে, ফিশিং এবং DDoS আক্রমণের মতো ক্রিয়াকলাপে শাখাবদ্ধ হয়েছে, ক্রিপ্টোমিনিং তার ইতিহাস জুড়ে একটি ধারাবাহিক সাধনা রয়ে গেছে।

যদিও এটা মনে হয় যে সংগ্রহ করা ক্রেডিট কার্ড ডেটা প্রাথমিকভাবে আক্রমণ পরিকাঠামো অর্জনের জন্য ব্যবহৃত হয়, নগদীকরণের বিকল্প উপায়, যেমন সাইবার অপরাধের আন্ডারগ্রাউন্ডের মধ্যে তথ্য বিক্রি করাও সম্ভব।

তদুপরি, হুমকি অভিনেতারা সাইবার অস্ত্র তৈরি এবং বিক্রিতে নিযুক্ত রয়েছে, এটি একটি তুলনামূলকভাবে বিরল অনুশীলন। বছরের পর বছর ধরে জমে থাকা সরঞ্জামগুলির একটি বিশাল অস্ত্রাগারের সাথে, তারা তাদের ক্রিয়াকলাপ চালানোর ক্ষেত্রে উল্লেখযোগ্য নমনীয়তার অধিকারী।