RUBYCARP botnet

Egy RUBYCARP néven ismert fenyegetettségi csoportot észleltek, amely állandó botnetet üzemeltet kriptobányászat, elosztott szolgáltatásmegtagadás (DDoS) és adathalász támadások végrehajtására. A kutatók úgy vélik, hogy a RUBYCARP román eredetű.

A legalább egy évtizede aktív RUBYCARP botnetjét elsősorban pénzügyi haszonszerzésre használja. Működési módjuk egy botnet telepítése különféle nyilvános kizsákmányolásokon és brute-force technikákon keresztül. A csoport nyilvános és magán IRC hálózatokon keresztül kommunikál.

Az első megállapítások arra utalnak, hogy a RUBYCARP és egy másik, az Outlaw nevű fenyegetési entitás között lehetséges átfedés. Az Outlaw már korábban is részt vett kriptobányászatban és brute force támadásokban, de a közelmúltban az adathalász és a lándzsás adathalász kampányokra helyezte a hangsúlyt, hogy kiszélesítse célpontjait.

Lehet, hogy a RUBYCARP kiterjeszti támadási módszereit

Ezek az adathalász e-mailek gyakran csábítják a címzetteket magántulajdonban lévő információk, például bejelentkezési adatok vagy pénzügyi adatok közzétételére. A RUBYCARP taktikájának egy másik figyelemreméltó aspektusa a ShellBot (más néven PerlBot) rosszindulatú program alkalmazása a célkörnyezetekbe való behatolásra. Ezenkívül megfigyelték, hogy kihasználják a Laravel-keretrendszer biztonsági réseit (pl. CVE-2021-3129), amelyet más fenyegető szereplők, például az AndroxGh0st is használnak.

Annak jelzésére, hogy a támadók kibővítették kezdeti hozzáférési technikáikat a botnet skálájának bővítése érdekében, a kutatók feltártak olyan eseteket, amikor a WordPress webhelyeket gyakran használt felhasználónevek és jelszavak veszélyeztették.

Belépéskor egy hátsó ajtó kerül beültetésre a Perl ShellBot néven ismert fenyegetés alapján. Ezt követően az áldozat szervere egy IRC (Internet Relay Chat) szerverhez kapcsolódik, amely Command-and-Control (C2) néven működik, integrálva a nagyobb botnetbe.

A botnet mérete a becslések szerint meghaladja a 600 gazdagépet, az IRC-kiszolgálót ('chat.juicessh.pro') 2023. május 1-jén hozták létre. Az általános kommunikációban, valamint a botnetek megszervezésében és a kriptominálási műveletek koordinálásában nagymértékben támaszkodik az IRC-re.

Ezenkívül azonosították a csoport tagjait, akik a #cristi nevű Undernet IRC csatornán keresztül kommunikálnak. Ezenkívül tömeges szkennert használnak a potenciális új gazdagépek azonosítására.

A RUBYCARP kiberbűnözők számos csaló jövedelemforrást használnak ki

A RUBYCARP megjelenése a kiberfenyegetettség világában nem meglepő, tekintettel arra, hogy képesek botnetjüket különböző tiltott bevételi forrásokhoz való hozzáférésre használni, beleértve a kriptográfiai és adathalász műveleteket, amelyek célja a hitelkártyaszámok begyűjtése.

Amint azt a kutatók feltárták, a kriptominisztráció a kiberbűnözők csoportjának elsődleges motivációja a kezdetek óta. Míg a csoport továbbfejlesztette taktikáját, olyan tevékenységekre ágazva, mint az adathalászat és a DDoS-támadások, a kriptomásolás következetes törekvés maradt története során.

Bár úgy tűnik, hogy a begyűjtött hitelkártya-adatokat elsősorban támadási infrastruktúra megszerzésére használják, alternatív pénzszerzési módok is lehetségesek, mint például az információk föld alatti értékesítése a kiberbűnözésen belül.

Ezenkívül a fenyegetés szereplői kiberfegyverek fejlesztésével és értékesítésével foglalkoznak, ami viszonylag ritka gyakorlat. Az évek során felhalmozott eszközök hatalmas arzenáljával jelentős rugalmassággal rendelkeznek a műveletek végrehajtása során.