RUBYCARP botnet
Egy RUBYCARP néven ismert fenyegetettségi csoportot észleltek, amely állandó botnetet üzemeltet kriptobányászat, elosztott szolgáltatásmegtagadás (DDoS) és adathalász támadások végrehajtására. A kutatók úgy vélik, hogy a RUBYCARP román eredetű.
A legalább egy évtizede aktív RUBYCARP botnetjét elsősorban pénzügyi haszonszerzésre használja. Működési módjuk egy botnet telepítése különféle nyilvános kizsákmányolásokon és brute-force technikákon keresztül. A csoport nyilvános és magán IRC hálózatokon keresztül kommunikál.
Az első megállapítások arra utalnak, hogy a RUBYCARP és egy másik, az Outlaw nevű fenyegetési entitás között lehetséges átfedés. Az Outlaw már korábban is részt vett kriptobányászatban és brute force támadásokban, de a közelmúltban az adathalász és a lándzsás adathalász kampányokra helyezte a hangsúlyt, hogy kiszélesítse célpontjait.
Lehet, hogy a RUBYCARP kiterjeszti támadási módszereit
Ezek az adathalász e-mailek gyakran csábítják a címzetteket magántulajdonban lévő információk, például bejelentkezési adatok vagy pénzügyi adatok közzétételére. A RUBYCARP taktikájának egy másik figyelemreméltó aspektusa a ShellBot (más néven PerlBot) rosszindulatú program alkalmazása a célkörnyezetekbe való behatolásra. Ezenkívül megfigyelték, hogy kihasználják a Laravel-keretrendszer biztonsági réseit (pl. CVE-2021-3129), amelyet más fenyegető szereplők, például az AndroxGh0st is használnak.
Annak jelzésére, hogy a támadók kibővítették kezdeti hozzáférési technikáikat a botnet skálájának bővítése érdekében, a kutatók feltártak olyan eseteket, amikor a WordPress webhelyeket gyakran használt felhasználónevek és jelszavak veszélyeztették.
Belépéskor egy hátsó ajtó kerül beültetésre a Perl ShellBot néven ismert fenyegetés alapján. Ezt követően az áldozat szervere egy IRC (Internet Relay Chat) szerverhez kapcsolódik, amely Command-and-Control (C2) néven működik, integrálva a nagyobb botnetbe.
A botnet mérete a becslések szerint meghaladja a 600 gazdagépet, az IRC-kiszolgálót ('chat.juicessh.pro') 2023. május 1-jén hozták létre. Az általános kommunikációban, valamint a botnetek megszervezésében és a kriptominálási műveletek koordinálásában nagymértékben támaszkodik az IRC-re.
Ezenkívül azonosították a csoport tagjait, akik a #cristi nevű Undernet IRC csatornán keresztül kommunikálnak. Ezenkívül tömeges szkennert használnak a potenciális új gazdagépek azonosítására.
A RUBYCARP kiberbűnözők számos csaló jövedelemforrást használnak ki
A RUBYCARP megjelenése a kiberfenyegetettség világában nem meglepő, tekintettel arra, hogy képesek botnetjüket különböző tiltott bevételi forrásokhoz való hozzáférésre használni, beleértve a kriptográfiai és adathalász műveleteket, amelyek célja a hitelkártyaszámok begyűjtése.
Amint azt a kutatók feltárták, a kriptominisztráció a kiberbűnözők csoportjának elsődleges motivációja a kezdetek óta. Míg a csoport továbbfejlesztette taktikáját, olyan tevékenységekre ágazva, mint az adathalászat és a DDoS-támadások, a kriptomásolás következetes törekvés maradt története során.
Bár úgy tűnik, hogy a begyűjtött hitelkártya-adatokat elsősorban támadási infrastruktúra megszerzésére használják, alternatív pénzszerzési módok is lehetségesek, mint például az információk föld alatti értékesítése a kiberbűnözésen belül.
Ezenkívül a fenyegetés szereplői kiberfegyverek fejlesztésével és értékesítésével foglalkoznak, ami viszonylag ritka gyakorlat. Az évek során felhalmozott eszközök hatalmas arzenáljával jelentős rugalmassággal rendelkeznek a műveletek végrehajtása során.