RUBYCARP Botnet

En trusselgruppe kendt som RUBYCARP er blevet opdaget, der driver et vedvarende botnet til at udføre kryptomining, distribueret denial-of-service (DDoS) og phishing-angreb. Forskere mener, at RUBYCARP har rumænsk oprindelse.

RUBYCARP, der har været aktiv i minimum et årti, bruger sit botnet primært til økonomiske gevinster. Deres modus operandi involverer at installere et botnet gennem forskellige offentlige udnyttelser og brute-force-teknikker. Gruppen kommunikerer gennem både offentlige og private IRC-netværk.

De første resultater tyder på et potentielt overlap mellem RUBYCARP og en anden trusselenhed ved navn Outlaw. Outlaw har en track record med at engagere sig i kryptominedrift og brute-force-angreb, men har for nylig flyttet fokus mod phishing- og spear-phishing-kampagner for at udvide deres rækkevidde af mål.

RUBYCARP udvider muligvis sine angrebsmetoder

Disse phishing-e-mails lokker ofte modtagere til at videregive privatejede oplysninger, såsom loginoplysninger eller økonomiske oplysninger. En anden bemærkelsesværdig facet af RUBYCARPs taktik involverer at bruge en malware kendt som ShellBot (også anerkendt som PerlBot) til at infiltrere målmiljøer. Derudover er de blevet observeret udnytte sikkerhedssårbarheder inden for Laravel Framework (f.eks. CVE-2021-3129), en metode, der også bruges af andre trusselsaktører som AndroxGh0st .

Som en indikation af, at angriberne udvider deres vifte af indledende adgangsteknikker for at udvide botnettets skala, har forskere afsløret tilfælde af WordPress-websteder, der er blevet kompromitteret gennem almindeligt anvendte brugernavne og adgangskoder.

Når man kommer ind, implanteres en bagdør baseret på en trussel kendt som Perl ShellBot. Efterfølgende er offerets server knyttet til en IRC-server (Internet Relay Chat), der fungerer som Command-and-Control (C2), og integreres i det større botnet.

Botnettets størrelse anslås at overstige 600 værter, med IRC-serveren ('chat.juicessh.pro') etableret den 1. maj 2023. Den er stærkt afhængig af IRC til generel kommunikation, såvel som til at orkestrere botnets og koordinere kryptomineringsoperationer.

Desuden er medlemmer af gruppen blevet identificeret, der kommunikerer via en Undernet IRC-kanal ved navn #cristi. Derudover bruger de et massescannerværktøj til at identificere potentielle nye værter.

RUBYCARP Cyberkriminelle udnytter talrige svigagtige indkomststrømme

RUBYCARP's fremkomst i cybertrussellandskabet kommer ikke som nogen overraskelse i betragtning af deres evne til at udnytte deres botnet til at få adgang til forskellige ulovlige indkomststrømme, herunder kryptomining og phishing-operationer, der sigter mod at høste kreditkortnumre.

Som forskere har afsløret, har kryptominering været cyberkriminalitetsgruppens primære motivation siden dens tidlige dage. Mens gruppen har udviklet sin taktik og forgrenet sig til aktiviteter som phishing og DDoS-angreb, har kryptominering forblevet en konsekvent udøvelse gennem hele sin historie.

Selvom det ser ud til, at indsamlede kreditkortdata primært bruges til at erhverve angrebsinfrastruktur, er alternative metoder til indtægtsgenerering, såsom at sælge oplysningerne inden for cyberkriminalitetsundergrunden, også mulige.

Desuden er trusselsaktørerne engageret i at udvikle og sælge cybervåben, en relativt usædvanlig praksis. Med et stort arsenal af værktøjer, der er akkumuleret gennem årene, besidder de betydelig fleksibilitet i udførelsen af deres operationer.