RUBYCARP Botnet

ក្រុមគំរាមកំហែងដែលគេស្គាល់ថាជា RUBYCARP ត្រូវបានគេរកឃើញថាកំពុងប្រតិបត្តិការ botnet ជាប់លាប់សម្រាប់ធ្វើការជីកយករ៉ែគ្រីបតូ ការចែកចាយការបដិសេធនៃសេវាកម្ម (DDoS) និងការវាយប្រហារដោយបន្លំ។ អ្នកស្រាវជ្រាវជឿថា RUBYCARP មានដើមកំណើតរ៉ូម៉ានី។

សកម្មក្នុងរយៈពេលយ៉ាងហោចណាស់មួយទសវត្សរ៍ RUBYCARP ប្រើប្រាស់ botnet របស់ខ្លួនជាចម្បងសម្រាប់ប្រាក់ចំណេញផ្នែកហិរញ្ញវត្ថុ។ ប្រតិបត្តិការ modus របស់ពួកគេពាក់ព័ន្ធនឹងការដាក់ពង្រាយ botnet តាមរយៈការកេងប្រវ័ញ្ចសាធារណៈផ្សេងៗ និងបច្ចេកទេស brute-force ។ ក្រុមទំនាក់ទំនងតាមរយៈបណ្តាញ IRC សាធារណៈ និងឯកជន។

ការរកឃើញដំបូងបង្ហាញពីសក្តានុពលនៃការត្រួតស៊ីគ្នារវាង RUBYCARP និងអង្គភាពគំរាមកំហែងមួយផ្សេងទៀតដែលមានឈ្មោះថា Outlaw ។ Outlaw មានកំណត់ត្រាមួយនៃការចូលរួមក្នុងការជីកយករ៉ែគ្រីបតូ និងការវាយប្រហារដោយបង្ខំ ប៉ុន្តែថ្មីៗនេះបានផ្លាស់ប្តូរការផ្តោតអារម្មណ៍ឆ្ពោះទៅរកយុទ្ធនាការបន្លំ និងការបន្លំលំពែង ដើម្បីពង្រីកវិសាលភាពនៃគោលដៅរបស់ពួកគេ។

RUBYCARP ប្រហែលជាកំពុងពង្រីកវិធីសាស្ត្រវាយប្រហាររបស់វា។

អ៊ីមែលបោកបញ្ឆោតទាំងនេះជារឿយៗទាក់ទាញអ្នកទទួលឱ្យចែករំលែកព័ត៌មានដែលគ្រប់គ្រងដោយឯកជន ដូចជាព័ត៌មានសម្ងាត់ចូល ឬព័ត៌មានហិរញ្ញវត្ថុ។ ចំណុចសំខាន់មួយទៀតនៃយុទ្ធសាស្ត្ររបស់ RUBYCARP ពាក់ព័ន្ធនឹងការប្រើប្រាស់មេរោគដែលគេស្គាល់ថា ShellBot (ត្រូវបានទទួលស្គាល់ថាជា PerlBot) ដើម្បីជ្រៀតចូលទៅក្នុងបរិយាកាសគោលដៅ។ លើសពីនេះទៀត ពួកគេត្រូវបានគេសង្កេតឃើញការកេងប្រវ័ញ្ចលើភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពនៅក្នុង Laravel Framework (ឧ. CVE-2021-3129) ដែលជាវិធីសាស្ត្រមួយដែលត្រូវបានប្រើប្រាស់ដោយអ្នកគំរាមកំហែងផ្សេងទៀតដូចជា AndroxGh0st ផងដែរ។

នៅក្នុងការចង្អុលបង្ហាញអំពីអ្នកវាយប្រហារពង្រីកអារេនៃបច្ចេកទេសចូលប្រើដំបូងរបស់ពួកគេ ដើម្បីពង្រីកទំហំរបស់ botnet អ្នកស្រាវជ្រាវបានបង្ហាញករណីនៃគេហទំព័រ WordPress ដែលត្រូវបានសម្របសម្រួលតាមរយៈឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ដែលប្រើជាទូទៅ។

នៅពេលទទួលបានធាតុ ទ្វារខាងក្រោយត្រូវបានផ្សាំដោយផ្អែកលើការគំរាមកំហែងដែលគេស្គាល់ថាជា Perl ShellBot ។ ក្រោយមកម៉ាស៊ីនមេរបស់ជនរងគ្រោះត្រូវបានភ្ជាប់ទៅម៉ាស៊ីនមេ IRC (Internet Relay Chat) ដែលដំណើរការជា Command-and-Control (C2) ដោយបញ្ចូលទៅក្នុង botnet ធំជាង។

ទំហំរបស់ botnet ត្រូវបានប៉ាន់ប្រមាណថាមានលើសពី 600 host ជាមួយនឹងម៉ាស៊ីនមេ IRC ('chat.juicessh.pro') ដែលបានបង្កើតឡើងនៅថ្ងៃទី 1 ខែឧសភា ឆ្នាំ 2023។ វាពឹងផ្អែកយ៉ាងខ្លាំងលើ IRC សម្រាប់ទំនាក់ទំនងទូទៅ ក៏ដូចជាសម្រាប់រៀបចំ botnets និងសម្របសម្រួលប្រតិបត្តិការ cryptomining ។

ជាងនេះទៅទៀត សមាជិកនៃក្រុមត្រូវបានគេកំណត់អត្តសញ្ញាណថាកំពុងទំនាក់ទំនងតាមរយៈប៉ុស្តិ៍ Undernet IRC ដែលមានឈ្មោះថា #cristi ។ លើសពីនេះទៀត ពួកគេប្រើប្រាស់ឧបករណ៍ស្កែនដ៏ធំដើម្បីកំណត់អត្តសញ្ញាណម៉ាស៊ីនថ្មីដែលមានសក្តានុពល។

RUBYCARP Cybercriminals កេងប្រវ័ញ្ចលើលំហូរប្រាក់ចំណូលក្លែងបន្លំជាច្រើន។

ការលេចឡើងរបស់ RUBYCARP នៅក្នុងទិដ្ឋភាពនៃការគំរាមកំហែងតាមអ៊ីនធឺណិតកើតឡើងជាការភ្ញាក់ផ្អើលតិចតួច ដោយសារសមត្ថភាពរបស់ពួកគេក្នុងការបង្កើន botnet របស់ពួកគេដើម្បីចូលប្រើចរន្តប្រាក់ចំណូលខុសច្បាប់ផ្សេងៗ រួមទាំងប្រតិបត្តិការ cryptomining និង phishing ដែលមានបំណងប្រមូលលេខកាតឥណទាន។

ដូចដែលអ្នកស្រាវជ្រាវបានរកឃើញ គ្រីបតូមីង គឺជាការលើកទឹកចិត្តចម្បងរបស់ក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត តាំងពីដើមដំបូងមក។ ខណៈពេលដែលក្រុមនេះបានវិវឌ្ឍយុទ្ធសាស្ត្ររបស់ខ្លួន ដោយបែងចែកទៅជាសកម្មភាពដូចជាការបន្លំ និងការវាយប្រហារដោយ DDoS ការគ្រីបតូមីនីងនៅតែជាការខិតខំប្រឹងប្រែងជាបន្តបន្ទាប់ពេញមួយប្រវត្តិសាស្រ្តរបស់វា។

ទោះបីជាវាហាក់បីដូចជាទិន្នន័យកាតឥណទានដែលប្រមូលបានត្រូវបានប្រើជាចម្បងដើម្បីទទួលបានហេដ្ឋារចនាសម្ព័ន្ធវាយប្រហារក៏ដោយ មធ្យោបាយផ្សេងទៀតនៃការរកប្រាក់ ដូចជាការលក់ព័ត៌មាននៅក្នុងឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតក៏អាចធ្វើទៅបានដែរ។

លើសពីនេះ តួអង្គគម្រាមកំហែងកំពុងចូលរួមក្នុងការអភិវឌ្ឍន៍ និងលក់អាវុធតាមអ៊ីនធឺណិត ដែលជាការអនុវត្តមិនធម្មតា។ ជាមួយនឹងឃ្លាំងអាវុធដ៏ច្រើនសន្ធឹកសន្ធាប់ជាច្រើនឆ្នាំមកនេះ ពួកគេមានភាពបត់បែនយ៉ាងសំខាន់ក្នុងការប្រតិបត្តិប្រតិបត្តិការរបស់ពួកគេ។