RUBYCARP Botnet

Grupa prijetnji poznata kao RUBYCARP otkrivena je kako upravlja postojanim botnetom za provođenje kripto rudarenja, distribuiranog uskraćivanja usluge (DDoS) i phishing napada. Istraživači vjeruju da RUBYCARP ima rumunjsko podrijetlo.

Aktivan najmanje desetljeće, RUBYCARP koristi svoj botnet prvenstveno za financijsku dobit. Njihov modus operandi uključuje postavljanje botneta kroz razne javne eksploatacije i brutalne tehnike. Grupa komunicira putem javnih i privatnih IRC mreža.

Početni nalazi sugeriraju potencijalno preklapanje između RUBYCARP-a i drugog entiteta prijetnje pod imenom Outlaw. Outlaw ima iskustvo u angažiranju u kripto rudarenju i napadima brutalnom silom, ali je nedavno prebacio fokus na phishing i spear-phishing kampanje kako bi proširio opseg svojih ciljeva.

RUBYCARP možda proširuje svoje metode napada

Ove phishing e-poruke često mame primatelje da odaju privatne informacije, kao što su vjerodajnice za prijavu ili financijski podaci. Još jedan značajan aspekt RUBYCARP-ove taktike uključuje korištenje zlonamjernog softvera poznatog kao ShellBot (također prepoznat kao PerlBot) za infiltraciju u ciljana okruženja. Osim toga, primijećeno je da iskorištavaju sigurnosne ranjivosti unutar Laravel Frameworka (npr. CVE-2021-3129), metoda koju koriste i drugi akteri prijetnji kao što je AndroxGh0st .

U znaku napadača koji proširuju svoju lepezu početnih tehnika pristupa kako bi proširili razmjere botneta, istraživači su otkrili slučajeve kompromitiranja WordPress stranica putem uobičajenih korisničkih imena i lozinki.

Nakon ulaska, ugrađuju se stražnja vrata temeljena na prijetnji poznatoj kao Perl ShellBot. Nakon toga, poslužitelj žrtve je povezan s IRC (Internet Relay Chat) poslužiteljem koji funkcionira kao Command-and-Control (C2), integrirajući se u veći botnet.

Procjenjuje se da veličina botneta premašuje 600 hostova, s IRC poslužiteljem ('chat.juicessh.pro') uspostavljenim 1. svibnja 2023. Uvelike se oslanja na IRC za opću komunikaciju, kao i za orkestriranje botneta i koordinaciju operacija kriptomanije.

Štoviše, identificirani su članovi grupe koji komuniciraju putem Undernet IRC kanala pod nazivom #cristi. Osim toga, koriste alat za masovno skeniranje kako bi identificirali potencijalne nove hostove.

RUBYCARP Cyber kriminalci iskorištavaju brojne lažne tokove prihoda

Pojava RUBYCARP-a u krajoliku kibernetičkih prijetnji nije iznenađenje, s obzirom na njihovu sposobnost da iskoriste svoj botnet za pristup različitim nezakonitim tokovima prihoda, uključujući operacije kriptomanije i krađe identiteta s ciljem prikupljanja brojeva kreditnih kartica.

Kao što su istraživači otkrili, kriptomarenje je primarna motivacija grupe za kibernetički kriminal od njezinih početaka. Iako je grupa razvila svoju taktiku, granajući se u aktivnosti kao što su phishing i DDoS napadi, kriptomarenje je ostalo dosljedna potraga kroz svoju povijest.

Iako se čini da se prikupljeni podaci kreditnih kartica primarno koriste za stjecanje infrastrukture za napade, mogući su i alternativni načini monetizacije, poput prodaje informacija unutar podzemlja kibernetičkog kriminala.

Nadalje, akteri prijetnji uključeni su u razvoj i prodaju kibernetičkog oružja, što je relativno neuobičajena praksa. S golemim arsenalom alata nakupljenih tijekom godina, oni posjeduju značajnu fleksibilnost u izvršavanju svojih operacija.