루비카프 봇넷

RUBYCARP로 알려진 위협 그룹이 암호화폐 채굴, 분산 서비스 거부(DDoS) 및 피싱 공격을 수행하기 위해 영구 봇넷을 운영하는 것으로 감지되었습니다. 연구자들은 RUBYCARP가 루마니아 출신이라고 믿습니다.

최소 10년 동안 활동한 RUBYCARP는 주로 금전적 이익을 위해 봇넷을 활용합니다. 그들의 작업 방식에는 다양한 공개 공격과 무차별 대입 기술을 통해 봇넷을 배포하는 것이 포함됩니다. 그룹은 공개 및 비공개 IRC 네트워크를 통해 통신합니다.

초기 조사 결과에 따르면 RUBYCARP와 Outlaw라는 또 다른 위협 개체가 중복될 가능성이 있는 것으로 나타났습니다. Outlaw는 암호화폐 채굴 및 무차별 대입 공격에 참여한 기록을 보유하고 있지만 최근에는 표적 범위를 확대하기 위해 피싱 및 스피어 피싱 캠페인에 중점을 두었습니다.

RUBYCARP는 공격 방법을 확장할 수 있습니다

이러한 피싱 이메일은 수신자가 로그인 자격 증명이나 금융 정보 등 개인 소유 정보를 공개하도록 유도하는 경우가 많습니다. RUBYCARP 전술의 또 다른 주목할만한 측면은 대상 환경에 침투하기 위해 ShellBot (PerlBot이라고도 함)이라는 악성 코드를 사용하는 것입니다. 또한 이들은 AndroxGh0st 와 같은 다른 위협 행위자도 사용하는 방법인 Laravel Framework(예: CVE-2021-3129) 내의 보안 취약점을 악용하는 것으로 관찰되었습니다.

공격자가 봇넷의 규모를 확장하기 위해 초기 액세스 기술의 배열을 확장했다는 징후로 연구원들은 일반적으로 사용되는 사용자 이름과 비밀번호를 통해 WordPress 사이트가 손상되는 사례를 공개했습니다.

진입하면 Perl ShellBot으로 알려진 위협을 기반으로 백도어가 설치됩니다. 그 후, 피해자의 서버는 명령 및 제어(C2) 역할을 하는 IRC(인터넷 릴레이 채팅) 서버에 연결되어 더 큰 봇넷에 통합됩니다.

봇넷의 규모는 2023년 5월 1일에 설립된 IRC 서버('chat.juicessh.pro')를 포함하여 600개 이상의 호스트로 추정됩니다. 봇넷은 일반 통신은 물론 봇넷 조정 및 암호화폐 채굴 작업 조정을 위해 IRC에 크게 의존합니다.

또한 이 그룹의 구성원은 #cristi라는 Undernet IRC 채널을 통해 통신하는 것으로 확인되었습니다. 또한 대량 스캐너 도구를 활용하여 잠재적인 새 호스트를 식별합니다.

RUBYCARP 사이버범죄자들은 수많은 사기 소득원을 악용합니다

RUBYCARP가 봇넷을 활용하여 신용 카드 번호 수집을 목표로 하는 암호화폐 채굴 및 피싱 작업을 비롯한 다양한 불법 소득원에 액세스할 수 있다는 점을 고려하면 사이버 위협 환경에서 RUBYCARP의 출현은 그다지 놀라운 일이 아닙니다.

연구원들이 밝혀낸 바와 같이, 암호화폐 채굴은 초기부터 사이버 범죄 그룹의 주된 동기였습니다. 그룹은 피싱 및 DDoS 공격과 같은 활동으로 범위를 넓히는 등 전략을 발전시켰지만 암호화폐 채굴은 역사 전반에 걸쳐 일관된 추구를 유지해 왔습니다.

수집된 신용카드 데이터는 주로 공격 인프라를 확보하는 데 사용되는 것으로 보이지만 지하 사이버 범죄 내에서 정보를 판매하는 등 대체 수익화 수단도 가능합니다.

더욱이, 위협 행위자들은 상대적으로 드문 관행인 사이버 무기 개발 및 판매에 참여하고 있습니다. 수년에 걸쳐 축적된 방대한 도구를 통해 작업 실행에 있어 상당한 유연성을 보유하고 있습니다.