RUBYCARP Botnet
Μια ομάδα απειλών γνωστή ως RUBYCARP εντοπίστηκε να λειτουργεί ένα μόνιμο botnet για τη διεξαγωγή εξόρυξης κρυπτογράφησης, κατανεμημένης άρνησης παροχής υπηρεσιών (DDoS) και επιθέσεων phishing. Οι ερευνητές πιστεύουν ότι το RUBYCARP έχει ρουμανική προέλευση.
Ενεργός για τουλάχιστον μια δεκαετία, η RUBYCARP χρησιμοποιεί το botnet της κυρίως για οικονομικά οφέλη. Ο τρόπος λειτουργίας τους περιλαμβάνει την ανάπτυξη ενός botnet μέσω διαφόρων δημόσιων εκμεταλλεύσεων και τεχνικών brute-force. Η ομάδα επικοινωνεί μέσω δημόσιων και ιδιωτικών δικτύων IRC.
Τα αρχικά ευρήματα υποδηλώνουν μια πιθανή επικάλυψη μεταξύ του RUBYCARP και μιας άλλης οντότητας απειλής που ονομάζεται Outlaw. Το Outlaw έχει ιστορικό εμπλοκής σε εξόρυξη κρυπτογράφησης και επιθέσεις ωμής βίας, αλλά πρόσφατα έχει στρέψει την προσοχή του σε καμπάνιες phishing και spear-phishing για να διευρύνει το εύρος των στόχων τους.
Το RUBYCARP μπορεί να επεκτείνει τις μεθόδους επίθεσης του
Αυτά τα μηνύματα ηλεκτρονικού ψαρέματος συχνά παρασύρουν τους παραλήπτες να αποκαλύψουν ιδιωτικές πληροφορίες, όπως διαπιστευτήρια σύνδεσης ή οικονομικά στοιχεία. Μια άλλη αξιοσημείωτη πτυχή της τακτικής του RUBYCARP περιλαμβάνει τη χρήση ενός κακόβουλου λογισμικού που είναι γνωστό ως ShellBot (αναγνωρίζεται επίσης ως PerlBot) για να διεισδύσει σε περιβάλλοντα στόχους. Επιπλέον, έχει παρατηρηθεί ότι εκμεταλλεύονται τρωτά σημεία ασφαλείας στο Laravel Framework (π.χ. CVE-2021-3129), μια μέθοδο που χρησιμοποιείται επίσης από άλλους παράγοντες απειλών όπως το AndroxGh0st .
Σε ένδειξη ότι οι εισβολείς διευρύνουν τη σειρά τεχνικών αρχικής πρόσβασης για να επεκτείνουν την κλίμακα του botnet, οι ερευνητές αποκάλυψαν περιπτώσεις παραβίασης ιστότοπων WordPress μέσω ονομάτων χρήστη και κωδικών πρόσβασης που χρησιμοποιούνται συνήθως.
Μόλις εισέλθει, εμφυτεύεται μια κερκόπορτα με βάση μια απειλή γνωστή ως Perl ShellBot. Στη συνέχεια, ο διακομιστής του θύματος συνδέεται με έναν διακομιστή IRC (Internet Relay Chat) που λειτουργεί ως Command-and-Control (C2) και ενσωματώνεται στο μεγαλύτερο botnet.
Το μέγεθος του botnet υπολογίζεται ότι ξεπερνά τους 600 κεντρικούς υπολογιστές, με τον διακομιστή IRC («chat.juicessh.pro») που ιδρύθηκε την 1η Μαΐου 2023. Βασίζεται σε μεγάλο βαθμό στο IRC για γενική επικοινωνία, καθώς και για την ενορχήστρωση botnet και τον συντονισμό των λειτουργιών cryptomining.
Επιπλέον, μέλη της ομάδας έχουν εντοπιστεί να επικοινωνούν μέσω ενός καναλιού Undernet IRC με το όνομα #cristi. Επιπλέον, χρησιμοποιούν ένα εργαλείο μαζικής σάρωσης για τον εντοπισμό πιθανών νέων κεντρικών υπολογιστών.
Οι κυβερνοεγκληματίες της RUBYCARP εκμεταλλεύονται πολυάριθμες δόλιες ροές εισοδήματος
Η εμφάνιση της RUBYCARP στο τοπίο των απειλών στον κυβερνοχώρο αποτελεί μικρή έκπληξη, δεδομένης της ικανότητάς τους να αξιοποιούν το botnet τους για να έχουν πρόσβαση σε διάφορες παράνομες ροές εισοδήματος, συμπεριλαμβανομένων πράξεων cryptomining και phishing που στοχεύουν στη συλλογή αριθμών πιστωτικών καρτών.
Όπως έχουν αποκαλύψει οι ερευνητές, η κρυπτοεξόρυξη ήταν το κύριο κίνητρο της ομάδας εγκλήματος στον κυβερνοχώρο από τις πρώτες μέρες της. Ενώ ο όμιλος έχει εξελίξει τις τακτικές του, διακλαδίζοντας σε δραστηριότητες όπως το phishing και οι επιθέσεις DDoS, το cryptomining παρέμεινε μια σταθερή επιδίωξη σε όλη την ιστορία του.
Αν και φαίνεται ότι τα δεδομένα πιστωτικών καρτών που συλλέγονται χρησιμοποιούνται κυρίως για την απόκτηση υποδομής επίθεσης, εναλλακτικά μέσα δημιουργίας εσόδων, όπως η πώληση των πληροφοριών στο υπόγειο έγκλημα στον κυβερνοχώρο, είναι επίσης δυνατά.
Επιπλέον, οι φορείς της απειλής ασχολούνται με την ανάπτυξη και την πώληση όπλων στον κυβερνοχώρο, μια σχετικά ασυνήθιστη πρακτική. Με ένα τεράστιο οπλοστάσιο εργαλείων που έχουν συσσωρευτεί με τα χρόνια, διαθέτουν σημαντική ευελιξία στην εκτέλεση των εργασιών τους.
