RUBYCARP Botnet

Kumpulan ancaman yang dikenali sebagai RUBYCARP telah dikesan mengendalikan botnet berterusan untuk menjalankan perlombongan crypto, distributed denial-of-service (DDoS) dan serangan pancingan data. Penyelidik percaya bahawa RUBYCARP berasal dari Romania.

Aktif selama sekurang-kurangnya satu dekad, RUBYCARP menggunakan botnetnya terutamanya untuk keuntungan kewangan. Modus operandi mereka melibatkan penggunaan botnet melalui pelbagai eksploitasi awam dan teknik kekerasan. Kumpulan itu berkomunikasi melalui rangkaian IRC awam dan swasta.

Penemuan awal mencadangkan kemungkinan pertindihan antara RUBYCARP dan entiti ancaman lain bernama Outlaw. Outlaw mempunyai rekod prestasi terlibat dalam perlombongan kripto dan serangan kekerasan tetapi baru-baru ini telah mengalihkan tumpuan ke arah kempen pancingan data dan pancingan lembing untuk meluaskan skop sasaran mereka.

RUBYCARP mungkin Memperluaskan Kaedah Serangannya

E-mel pancingan data ini kerap memikat penerima untuk mendedahkan maklumat milik persendirian, seperti bukti kelayakan log masuk atau butiran kewangan. Satu lagi aspek penting dalam taktik RUBYCARP melibatkan penggunaan perisian hasad yang dikenali sebagai ShellBot (juga dikenali sebagai PerlBot) untuk menyusup ke persekitaran sasaran. Selain itu, mereka telah diperhatikan mengeksploitasi kelemahan keselamatan dalam Rangka Kerja Laravel (cth, CVE-2021-3129), kaedah yang turut digunakan oleh pelaku ancaman lain seperti AndroxGh0st .

Sebagai tanda penyerang meluaskan pelbagai teknik akses awal mereka untuk mengembangkan skala botnet, penyelidik telah mendedahkan kejadian tapak WordPress dikompromi melalui nama pengguna dan kata laluan yang biasa digunakan.

Apabila mendapat kemasukan, pintu belakang ditanam berdasarkan ancaman yang dikenali sebagai Perl ShellBot. Selepas itu, pelayan mangsa dipautkan ke pelayan IRC (Internet Relay Chat) yang berfungsi sebagai Command-and-Control (C2), menyepadukan ke dalam botnet yang lebih besar.

Saiz botnet dianggarkan melebihi 600 hos, dengan pelayan IRC ('chat.juicessh.pro') ditubuhkan pada 1 Mei 2023. Ia sangat bergantung pada IRC untuk komunikasi umum, serta untuk mengatur botnet dan menyelaraskan operasi perlombongan kripto.

Selain itu, ahli kumpulan telah dikenal pasti berkomunikasi melalui saluran Undernet IRC bernama #cristi. Selain itu, mereka menggunakan alat pengimbas massa untuk mengenal pasti hos baharu yang berpotensi.

Penjenayah Siber RUBYCARP Mengeksploitasi Pelbagai Aliran Pendapatan Penipuan

Kemunculan RUBYCARP dalam landskap ancaman siber agak mengejutkan, memandangkan keupayaan mereka untuk memanfaatkan botnet mereka untuk mengakses pelbagai aliran pendapatan haram, termasuk operasi cryptomining dan pancingan data yang bertujuan untuk mendapatkan nombor kad kredit.

Seperti yang telah didedahkan oleh penyelidik, cryptomining telah menjadi motivasi utama kumpulan jenayah siber sejak awalnya. Walaupun kumpulan itu telah mengembangkan taktiknya, bercabang kepada aktiviti seperti pancingan data dan serangan DDoS, perlombongan kripto kekal sebagai usaha yang konsisten sepanjang sejarahnya.

Walaupun nampaknya data kad kredit yang dituai digunakan terutamanya untuk memperoleh infrastruktur serangan, cara alternatif pengewangan, seperti menjual maklumat dalam jenayah siber secara bawah tanah, juga boleh dilakukan.

Tambahan pula, pelaku ancaman terlibat dalam membangunkan dan menjual senjata siber, satu amalan yang agak luar biasa. Dengan peralatan yang luas terkumpul selama bertahun-tahun, mereka mempunyai fleksibiliti yang ketara dalam melaksanakan operasi mereka.