RUBYCARP robottīkls

Ir atklāta draudu grupa, kas pazīstama kā RUBYCARP, un tā izmanto pastāvīgu robottīklu, lai veiktu kriptorakstu ieguvi, izplatītu pakalpojumu atteikumu (DDoS) un pikšķerēšanas uzbrukumus. Pētnieki uzskata, ka RUBYCARP ir rumāņu izcelsme.

RUBYCARP, kas darbojas vismaz desmit gadus, savu robottīklu galvenokārt izmanto finansiālas peļņas gūšanai. Viņu darbības veids ir robottīkla izvietošana, izmantojot dažādus publiskus ekspluatācijas un brutāla spēka paņēmienus. Grupa sazinās, izmantojot gan publiskos, gan privātos IRC tīklus.

Sākotnējie atklājumi liecina par iespējamu pārklāšanos starp RUBYCARP un citu draudu vienību ar nosaukumu Outlaw. Outlaw ir piedalījies kriptorakstu ieguvē un brutālu spēku uzbrukumos, taču nesen viņš ir pievērsis uzmanību pikšķerēšanas un šķēppikšķerēšanas kampaņām, lai paplašinātu savu mērķu loku.

Iespējams, RUBYCARP paplašina savas uzbrukuma metodes

Šie pikšķerēšanas e-pasta ziņojumi bieži vien mudina adresātus izpaust privāti piederošu informāciju, piemēram, pieteikšanās akreditācijas datus vai finanšu informāciju. Vēl viens ievērības cienīgs RUBYCARP taktikas aspekts ir ļaunprātīgas programmatūras, kas pazīstama kā ShellBot (pazīstama arī kā PerlBot), izmantošana, lai iefiltrētos mērķa vidēs. Turklāt ir novērots, ka viņi izmanto Laravel Framework drošības ievainojamības (piemēram, CVE-2021-3129), un šo metodi izmanto arī citi apdraudējuma dalībnieki, piemēram, AndroxGh0st .

Norādot, ka uzbrucēji paplašina sākotnējo piekļuves metožu klāstu, lai paplašinātu robottīkla mērogu, pētnieki ir atklājuši gadījumus, kad WordPress vietnes ir apdraudētas, izmantojot bieži lietotus lietotājvārdus un paroles.

Iekļūstot, tiek implantētas aizmugures durvis, pamatojoties uz draudiem, kas pazīstami kā Perl ShellBot. Pēc tam upura serveris ir saistīts ar IRC (Internet Relay Chat) serveri, kas darbojas kā Command-and-Control (C2), integrējoties lielākā robottīklā.

Tiek lēsts, ka robottīkla lielums pārsniedz 600 saimniekdatorus, un IRC serveris (“chat.juicessh.pro”) tika izveidots 2023. gada 1. maijā. Tas lielā mērā ir atkarīgs no IRC vispārīgai saziņai, kā arī robottīklu organizēšanai un kriptominēšanas darbību koordinēšanai.

Turklāt ir identificēti grupas dalībnieki, kuri sazinās, izmantojot Undernet IRC kanālu ar nosaukumu #cristi. Turklāt viņi izmanto masu skenera rīku, lai identificētu potenciālos jaunos saimniekdatorus.

RUBYCARP kibernoziedznieki izmanto daudzas krāpnieciskas ienākumu plūsmas

RUBYCARP parādīšanās kiberdraudu vidē ir neliels pārsteigums, ņemot vērā to spēju izmantot savu robottīklu, lai piekļūtu dažādām nelikumīgām ienākumu plūsmām, tostarp kriptovalūtas un pikšķerēšanas operācijām, kuru mērķis ir iegūt kredītkaršu numurus.

Kā atklājuši pētnieki, šifrēšana ir bijusi kibernoziedzības grupas galvenā motivācija kopš tās pirmsākumiem. Lai gan grupa ir attīstījusi savu taktiku, izvēršoties tādās aktivitātēs kā pikšķerēšana un DDoS uzbrukumi, šifrēšana ir bijusi konsekventa darbība visā tās vēsturē.

Lai gan šķiet, ka iegūtie kredītkaršu dati galvenokārt tiek izmantoti uzbrukuma infrastruktūras iegūšanai, ir iespējami arī alternatīvi monetizācijas līdzekļi, piemēram, informācijas pārdošana kibernoziegumu pazemē.

Turklāt apdraudējuma dalībnieki nodarbojas ar kiberieroču izstrādi un pārdošanu, kas ir salīdzinoši neparasta prakse. Tā kā gadu gaitā ir uzkrāts milzīgs rīku arsenāls, viņiem ir ievērojama elastība, veicot savas darbības.