بات نت RUBYCARP
یک گروه تهدید به نام RUBYCARP شناسایی شده است که یک بات نت دائمی را برای انجام استخراج کریپتو، انکار سرویس توزیع شده (DDoS) و حملات فیشینگ کار می کند. محققان بر این باورند که RUBYCARP منشأ رومانیایی دارد.
RUBYCARP که حداقل یک دهه فعال است، از بات نت خود در درجه اول برای منافع مالی استفاده می کند. روش کار آنها شامل استقرار یک بات نت از طریق بهره برداری های عمومی مختلف و تکنیک های brute-force است. این گروه از طریق شبکه های عمومی و خصوصی IRC ارتباط برقرار می کند.
یافته های اولیه حاکی از همپوشانی بالقوه بین RUBYCARP و موجودیت تهدید دیگری به نام Outlaw است. Outlaw سابقه مشارکت در استخراج رمزارز و حملات brute-force را دارد، اما اخیراً تمرکز خود را به سمت کمپینهای فیشینگ و نیزه فیشینگ تغییر داده است تا دامنه اهداف خود را گسترش دهد.
RUBYCARP ممکن است روشهای حمله خود را گسترش دهد
این ایمیلهای فیشینگ اغلب گیرندگان را به افشای اطلاعات خصوصی، مانند اعتبار ورود به سیستم یا مشخصات مالی، ترغیب میکنند. یکی دیگر از جنبه های قابل توجه تاکتیک های RUBYCARP شامل استفاده از بدافزاری به نام ShellBot (همچنین به عنوان PerlBot شناخته می شود) برای نفوذ به محیط های هدف است. علاوه بر این، مشاهده شدهاند که از آسیبپذیریهای امنیتی در چارچوب لاراول (مانند CVE-2021-3129) سوء استفاده میکنند، روشی که توسط دیگر بازیگران تهدید مانند AndroxGh0st نیز استفاده میشود.
به عنوان نشانه ای از مهاجمان که آرایه تکنیک های دسترسی اولیه خود را برای گسترش مقیاس بات نت گسترش می دهند، محققان نمونه هایی از سایت های وردپرس را فاش کرده اند که از طریق نام های کاربری و رمزهای عبور رایج مورد استفاده قرار می گیرند.
پس از ورود، یک درب پشتی بر اساس تهدیدی به نام Perl ShellBot کاشته می شود. متعاقباً، سرور قربانی به یک سرور IRC (Internet Relay Chat) متصل می شود که به عنوان Command-and-Control (C2) عمل می کند و در بات نت بزرگتر یکپارچه می شود.
تخمین زده می شود که اندازه بات نت از 600 میزبان فراتر رود و سرور IRC ("chat.juicessh.pro") در 1 مه 2023 تاسیس شد. این بات نت به شدت به IRC برای ارتباطات عمومی و همچنین برای هماهنگی بات نت ها و هماهنگی عملیات استخراج رمزنگاری متکی است.
علاوه بر این، اعضای گروه شناسایی شدهاند که از طریق یک کانال Undernet IRC به نام #cristi در ارتباط هستند. علاوه بر این، آنها از یک ابزار اسکنر انبوه برای شناسایی میزبان های جدید بالقوه استفاده می کنند.
مجرمان سایبری RUBYCARP از جریان های درآمدی متقلبانه متعدد سوء استفاده می کنند
ظهور RUBYCARP در چشمانداز تهدید سایبری، با توجه به توانایی آنها در استفاده از باتنت خود برای دسترسی به جریانهای درآمد غیرقانونی مختلف، از جمله عملیاتهای رمزنگاری و فیشینگ با هدف جمعآوری شماره کارتهای اعتباری، چندان شگفتانگیز نیست.
همانطور که محققان کشف کردهاند، استخراج رمزنگاری انگیزه اصلی گروه جرایم سایبری از روزهای اولیه تشکیل آن بوده است. در حالی که این گروه تاکتیک های خود را تکامل داده و به فعالیت هایی مانند حملات فیشینگ و DDoS منشعب شده است، استخراج رمزنگاری در طول تاریخ خود همچنان به عنوان یک پیگیری ثابت باقی مانده است.
اگرچه به نظر میرسد که دادههای کارت اعتباری جمعآوریشده در درجه اول برای به دست آوردن زیرساخت حمله استفاده میشود، روشهای جایگزین برای کسب درآمد، مانند فروش اطلاعات در جرایم سایبری زیرزمینی، نیز امکانپذیر است.
علاوه بر این، بازیگران تهدید درگیر توسعه و فروش سلاحهای سایبری هستند که یک عمل نسبتاً غیر معمول است. با زرادخانه گسترده ای از ابزارهای انباشته شده در طول سال ها، آنها از انعطاف پذیری قابل توجهی در اجرای عملیات خود برخوردار هستند.