بات نت RUBYCARP

یک گروه تهدید به نام RUBYCARP شناسایی شده است که یک بات نت دائمی را برای انجام استخراج کریپتو، انکار سرویس توزیع شده (DDoS) و حملات فیشینگ کار می کند. محققان بر این باورند که RUBYCARP منشأ رومانیایی دارد.

RUBYCARP که حداقل یک دهه فعال است، از بات نت خود در درجه اول برای منافع مالی استفاده می کند. روش کار آنها شامل استقرار یک بات نت از طریق بهره برداری های عمومی مختلف و تکنیک های brute-force است. این گروه از طریق شبکه های عمومی و خصوصی IRC ارتباط برقرار می کند.

یافته های اولیه حاکی از همپوشانی بالقوه بین RUBYCARP و موجودیت تهدید دیگری به نام Outlaw است. Outlaw سابقه مشارکت در استخراج رمزارز و حملات brute-force را دارد، اما اخیراً تمرکز خود را به سمت کمپین‌های فیشینگ و نیزه فیشینگ تغییر داده است تا دامنه اهداف خود را گسترش دهد.

RUBYCARP ممکن است روش‌های حمله خود را گسترش دهد

این ایمیل‌های فیشینگ اغلب گیرندگان را به افشای اطلاعات خصوصی، مانند اعتبار ورود به سیستم یا مشخصات مالی، ترغیب می‌کنند. یکی دیگر از جنبه های قابل توجه تاکتیک های RUBYCARP شامل استفاده از بدافزاری به نام ShellBot (همچنین به عنوان PerlBot شناخته می شود) برای نفوذ به محیط های هدف است. علاوه بر این، مشاهده شده‌اند که از آسیب‌پذیری‌های امنیتی در چارچوب لاراول (مانند CVE-2021-3129) سوء استفاده می‌کنند، روشی که توسط دیگر بازیگران تهدید مانند AndroxGh0st نیز استفاده می‌شود.

به عنوان نشانه ای از مهاجمان که آرایه تکنیک های دسترسی اولیه خود را برای گسترش مقیاس بات نت گسترش می دهند، محققان نمونه هایی از سایت های وردپرس را فاش کرده اند که از طریق نام های کاربری و رمزهای عبور رایج مورد استفاده قرار می گیرند.

پس از ورود، یک درب پشتی بر اساس تهدیدی به نام Perl ShellBot کاشته می شود. متعاقباً، سرور قربانی به یک سرور IRC (Internet Relay Chat) متصل می شود که به عنوان Command-and-Control (C2) عمل می کند و در بات نت بزرگتر یکپارچه می شود.

تخمین زده می شود که اندازه بات نت از 600 میزبان فراتر رود و سرور IRC ("chat.juicessh.pro") در 1 مه 2023 تاسیس شد. این بات نت به شدت به IRC برای ارتباطات عمومی و همچنین برای هماهنگی بات نت ها و هماهنگی عملیات استخراج رمزنگاری متکی است.

علاوه بر این، اعضای گروه شناسایی شده‌اند که از طریق یک کانال Undernet IRC به نام #cristi در ارتباط هستند. علاوه بر این، آنها از یک ابزار اسکنر انبوه برای شناسایی میزبان های جدید بالقوه استفاده می کنند.

مجرمان سایبری RUBYCARP از جریان های درآمدی متقلبانه متعدد سوء استفاده می کنند

ظهور RUBYCARP در چشم‌انداز تهدید سایبری، با توجه به توانایی آن‌ها در استفاده از بات‌نت خود برای دسترسی به جریان‌های درآمد غیرقانونی مختلف، از جمله عملیات‌های رمزنگاری و فیشینگ با هدف جمع‌آوری شماره کارت‌های اعتباری، چندان شگفت‌انگیز نیست.

همانطور که محققان کشف کرده‌اند، استخراج رمزنگاری انگیزه اصلی گروه جرایم سایبری از روزهای اولیه تشکیل آن بوده است. در حالی که این گروه تاکتیک های خود را تکامل داده و به فعالیت هایی مانند حملات فیشینگ و DDoS منشعب شده است، استخراج رمزنگاری در طول تاریخ خود همچنان به عنوان یک پیگیری ثابت باقی مانده است.

اگرچه به نظر می‌رسد که داده‌های کارت اعتباری جمع‌آوری‌شده در درجه اول برای به دست آوردن زیرساخت حمله استفاده می‌شود، روش‌های جایگزین برای کسب درآمد، مانند فروش اطلاعات در جرایم سایبری زیرزمینی، نیز امکان‌پذیر است.

علاوه بر این، بازیگران تهدید درگیر توسعه و فروش سلاح‌های سایبری هستند که یک عمل نسبتاً غیر معمول است. با زرادخانه گسترده ای از ابزارهای انباشته شده در طول سال ها، آنها از انعطاف پذیری قابل توجهی در اجرای عملیات خود برخوردار هستند.