RUBYCARP Botnet

קבוצת איומים המכונה RUBYCARP זוהתה המפעילה רשת בוטים מתמשכת לביצוע כריית קריפטו, מניעת שירות מבוזרת (DDoS) והתקפות דיוג. חוקרים מאמינים של-RUBYCARP יש מוצא רומני.

RUBYCARP, פעילה לפחות עשור, משתמשת בבוטנט שלה בעיקר למטרות רווחים כספיים. אופן הפעולה שלהם כולל פריסת רשת בוט באמצעות שימושים ציבוריים שונים וטכניקות כוח גס. הקבוצה מתקשרת דרך רשתות IRC ציבוריות ופרטיות כאחד.

ממצאים ראשוניים מצביעים על חפיפה אפשרית בין RUBYCARP לבין ישות איום אחרת בשם Outlaw. ל-Outlaw יש רקורד של עיסוק בכריית קריפטו והתקפות בכוח גס, אך לאחרונה העביר את המיקוד לכיוון קמפיינים של פישינג ודיוג חנית כדי להרחיב את היקף המטרות שלהם.

ייתכן ש-RUBYCARP מרחיבה את שיטות ההתקפה שלה

הודעות דיוג אלו מפתות לעתים קרובות את הנמענים לחשוף מידע בבעלות פרטית, כגון אישורי התחברות או פרטים פיננסיים. פן ראוי לציון נוסף של הטקטיקות של RUBYCARP כולל שימוש בתוכנה זדונית המכונה ShellBot (מוכר גם בשם PerlBot) כדי לחדור לסביבות יעד. בנוסף, הם נצפו מנצלים פרצות אבטחה במסגרת Laravel Framework (למשל, CVE-2021-3129), שיטה המשמשת גם גורמי איומים אחרים כמו AndroxGh0st .

כסימן לכך שהתוקפים מרחיבים את מערך טכניקות הגישה הראשוניות שלהם כדי להרחיב את קנה המידה של הבוטנט, חוקרים חשפו מקרים של אתרי וורדפרס שנפגעו באמצעות שמות משתמש וסיסמאות נפוצים.

עם הכניסה, מושתלת דלת אחורית המבוססת על איום המכונה Perl ShellBot. לאחר מכן, השרת של הקורבן מקושר לשרת IRC (Internet Relay Chat) המתפקד כ-Command-and-Control (C2), ומשתלב בבוטנט הגדול יותר.

גודל ה-botnet מוערך לעבור את 600 מארחים, כאשר שרת ה-IRC ('chat.juicessh.pro') הוקם ב-1 במאי 2023. הוא מסתמך במידה רבה על IRC לתקשורת כללית, כמו גם לתזמור רשתות בוטים ותיאום פעולות קריפטומין.

יתרה מכך, חברי הקבוצה זוהו המתקשרים דרך ערוץ Undernet IRC בשם #cristi. בנוסף, הם משתמשים בכלי סורק המוני כדי לזהות מארחים חדשים פוטנציאליים.

פושעי סייבר של RUBYCARP מנצלים מספר רב של זרמי הכנסה הונאה

הופעתה של RUBYCARP בנוף איומי הסייבר מפתיעה מעט, בהתחשב ביכולתם למנף את הבוטנט שלהם כדי לגשת לזרמי הכנסה בלתי חוקיים שונים, כולל פעולות קריפטומין ופישינג שמטרתן לאסוף מספרי כרטיסי אשראי.

כפי שחוקרים חשפו, קריפטומין היה המניע העיקרי של קבוצת פשע הסייבר מאז ימיה הראשונים. בעוד שהקבוצה פיתחה את הטקטיקה שלה, והסתעפה לפעילויות כגון דיוג והתקפות DDoS, קריפטומיינג נשאר עיסוק עקבי לאורך ההיסטוריה שלה.

למרות שנראה כי נתוני כרטיסי אשראי שנאספו משמשים בעיקר לרכישת תשתית תקיפה, אפשריים גם אמצעים חלופיים למונטיזציה, כמו מכירת המידע בתוך מחתרת פשעי הסייבר.

יתר על כן, גורמי האיום עוסקים בפיתוח ומכירת נשק סייבר, מנהג נדיר יחסית. עם ארסנל עצום של כלים שנצבר במהלך השנים, יש להם גמישות משמעותית בביצוע הפעולות שלהם.