Botnet RUBYCARP

Byla zjištěna skupina hrozeb známá jako RUBYCARP, která provozuje perzistentní botnet pro provádění těžby kryptoměn, distribuovaného odmítnutí služby (DDoS) a phishingových útoků. Vědci se domnívají, že RUBYCARP má rumunský původ.

RUBYCARP, který je aktivní minimálně deset let, využívá svůj botnet především pro finanční zisky. Jejich modus operandi zahrnuje nasazení botnetu prostřednictvím různých veřejných exploitů a technik hrubé síly. Skupina komunikuje prostřednictvím veřejných i soukromých IRC sítí.

Počáteční zjištění naznačují možné překrývání mezi RUBYCARP a další entitou ohrožení jménem Outlaw. Outlaw má zkušenosti s těžbou kryptoměn a útoky hrubou silou, ale nedávno se zaměřil na phishing a spear-phishing kampaně, aby rozšířil rozsah svých cílů.

RUBYCARP možná rozšiřuje své útočné metody

Tyto phishingové e-maily často lákají příjemce, aby vyzradili soukromě vlastněné informace, jako jsou přihlašovací údaje nebo finanční údaje. Další pozoruhodný aspekt taktiky RUBYCARP zahrnuje použití malwaru známého jako ShellBot (také známý jako PerlBot) k infiltraci cílových prostředí. Navíc byli pozorováni při využívání bezpečnostních zranitelností v rámci Laravel Framework (např. CVE-2021-3129), což je metoda, kterou využívají i další aktéři hrozeb, jako je AndroxGh0st .

Na znamení toho, že útočníci rozšiřují své pole počátečních přístupových technik, aby rozšířili rozsah botnetu, výzkumníci odhalili případy, kdy byly weby WordPress kompromitovány prostřednictvím běžně používaných uživatelských jmen a hesel.

Po získání vstupu se implantují zadní vrátka na základě hrozby známé jako Perl ShellBot. Následně je server oběti propojen se serverem IRC (Internet Relay Chat) fungujícím jako Command-and-Control (C2), který se integruje do většího botnetu.

Velikost botnetu se odhaduje na více než 600 hostitelů, přičemž IRC server ('chat.juicessh.pro') byl zřízen 1. května 2023. Do značné míry spoléhá na IRC pro obecnou komunikaci, stejně jako pro organizování botnetů a koordinaci kryptominačních operací.

Kromě toho bylo identifikováno, že členové skupiny komunikují přes IRC kanál Undernet s názvem #cristi. Kromě toho využívají nástroj hromadného skenování k identifikaci potenciálních nových hostitelů.

Kyberzločinci RUBYCARP využívají četné podvodné toky příjmů

Objevení se RUBYCARP v prostředí kybernetických hrozeb není překvapením, vzhledem k jejich schopnosti využít svůj botnet k přístupu k různým nezákonným tokům příjmů, včetně kryptominace a phishingových operací zaměřených na získávání čísel kreditních karet.

Jak výzkumníci odhalili, kryptominace byla hlavní motivací skupiny zabývající se kyberzločinem od jejích počátků. Zatímco skupina vyvinula svou taktiku a rozvětvila se do aktivit, jako je phishing a DDoS útoky, kryptominace zůstala v celé její historii konzistentní.

Ačkoli se zdá, že sklizená data kreditních karet se primárně používají k získání útočné infrastruktury, jsou možné i alternativní způsoby monetizace, jako je prodej informací v podzemí kyberzločinu.

Kromě toho se aktéři hrozeb zabývají vývojem a prodejem kybernetických zbraní, což je poměrně neobvyklá praxe. S obrovským arzenálem nástrojů nashromážděným v průběhu let disponují významnou flexibilitou při provádění svých operací.