RUBYCARP Botnet

En trusselgruppe kjent som RUBYCARP har blitt oppdaget som driver et vedvarende botnett for å utføre kryptomining, distribuert denial-of-service (DDoS) og phishing-angrep. Forskere mener at RUBYCARP har rumensk opprinnelse.

RUBYCARP har vært aktiv i minimum et tiår, og bruker botnettet sitt primært for økonomiske gevinster. Metoden deres innebærer å distribuere et botnett gjennom ulike offentlige utnyttelser og brute-force-teknikker. Gruppen kommuniserer gjennom både offentlige og private IRC-nettverk.

De første funnene tyder på en potensiell overlapping mellom RUBYCARP og en annen trusselenhet ved navn Outlaw. Outlaw har en merittliste med å engasjere seg i kryptogruvedrift og brute-force-angrep, men har nylig skiftet fokus mot phishing- og spear-phishing-kampanjer for å utvide omfanget av mål.

RUBYCARP kan utvide sine angrepsmetoder

Disse phishing-e-postene lokker ofte mottakere til å røpe privateid informasjon, for eksempel påloggingsinformasjon eller økonomiske opplysninger. En annen bemerkelsesverdig fasett av RUBYCARPs taktikk involverer å bruke en skadelig programvare kjent som ShellBot (også anerkjent som PerlBot) for å infiltrere målmiljøer. I tillegg har de blitt observert utnytte sikkerhetssårbarheter innenfor Laravel Framework (f.eks. CVE-2021-3129), en metode som også brukes av andre trusselaktører som AndroxGh0st .

Som en indikasjon på at angriperne har utvidet sitt utvalg av innledende tilgangsteknikker for å utvide botnettets skala, har forskere avslørt tilfeller av WordPress-nettsteder som ble kompromittert gjennom vanlige brukernavn og passord.

Når du kommer inn, blir en bakdør implantert basert på en trussel kjent som Perl ShellBot. Deretter blir offerets server koblet til en IRC-server (Internet Relay Chat) som fungerer som Command-and-Control (C2), og integreres i det større botnettet.

Botnettets størrelse er estimert til å overstige 600 verter, med IRC-serveren ('chat.juicessh.pro') etablert 1. mai 2023. Den er sterkt avhengig av IRC for generell kommunikasjon, så vel som for orkestrering av botnett og koordinering av kryptomineringsoperasjoner.

I tillegg har medlemmer av gruppen blitt identifisert som kommuniserer via en Undernet IRC-kanal kalt #cristi. I tillegg bruker de et masseskannerverktøy for å identifisere potensielle nye verter.

RUBYCARP nettkriminelle utnytter en rekke uredelige inntektsstrømmer

RUBYCARPs fremvekst i cybertrussellandskapet kommer ikke som en overraskelse, gitt deres evne til å utnytte botnettet deres for å få tilgang til ulike ulovlige inntektsstrømmer, inkludert kryptomining og phishing-operasjoner rettet mot innsamling av kredittkortnumre.

Som forskere har avdekket, har kryptominering vært nettkriminalitetsgruppens primære motivasjon siden de første dagene. Mens gruppen har utviklet taktikken sin, forgrenet seg til aktiviteter som phishing og DDoS-angrep, har kryptominering forblitt en konsekvent streben gjennom historien.

Selv om det ser ut til at innsamlede kredittkortdata først og fremst brukes til å skaffe angrepsinfrastruktur, er alternative måter å tjene penger på, som å selge informasjonen innenfor cyberkriminalitetsundergrunnen, også mulig.

Videre er trusselaktørene engasjert i å utvikle og selge nettvåpen, en relativt uvanlig praksis. Med et stort arsenal av verktøy akkumulert gjennom årene, har de betydelig fleksibilitet når det gjelder å utføre sine operasjoner.