RUBYCARP बोटनेट
RUBYCARP भनेर चिनिने खतरा समूहले क्रिप्टो माइनिङ, डिस्ट्रिब्युटेड डिनायल-अफ-सर्भिस (DDoS) र फिसिङ आक्रमणहरू सञ्चालन गर्न निरन्तर बोटनेट सञ्चालन गरिरहेको पत्ता लागेको छ। अन्वेषकहरूले विश्वास गर्छन् कि RUBYCARP रोमानियन मूल हो।
कम्तिमा एक दशकको लागि सक्रिय, RUBYCARP ले आफ्नो बोटनेट मुख्यतया आर्थिक लाभको लागि प्रयोग गर्दछ। तिनीहरूको मोडस अपरेन्डीमा विभिन्न सार्वजनिक शोषण र क्रूर-फोर्स प्रविधिहरू मार्फत बोटनेट तैनाती समावेश छ। समूहले सार्वजनिक र निजी दुवै IRC नेटवर्कहरू मार्फत सञ्चार गर्दछ।
प्रारम्भिक निष्कर्षहरूले RUBYCARP र Outlaw नामको अर्को खतरा निकाय बीचको सम्भावित ओभरल्यापको सुझाव दिन्छ। आउटलसँग क्रिप्टो माइनिङ र ब्रूट-फोर्स आक्रमणहरूमा संलग्न भएको ट्र्याक रेकर्ड छ तर हालसालै फिसिङ र भाला-फिसिङ अभियानहरूमा आफ्नो लक्ष्यहरूको दायरा फराकिलो बनाउन ध्यान केन्द्रित गरेको छ।
RUBYCARP ले यसको आक्रमण विधिहरू विस्तार गरिरहेको हुन सक्छ
यी फिसिङ इमेलहरूले प्राय: प्रापकहरूलाई निजी स्वामित्वको जानकारी, जस्तै लगइन प्रमाणहरू वा वित्तीय विवरणहरू प्रकट गर्न लोभ्याउँछन्। RUBYCARP को कार्यनीतिको अर्को उल्लेखनीय पक्षले लक्षित वातावरणमा घुसपैठ गर्न ShellBot (PerlBot को रूपमा पनि चिनिन्छ) भनेर चिनिने मालवेयरलाई प्रयोग गर्नु समावेश छ। थप रूपमा, तिनीहरूले Laravel फ्रेमवर्क (जस्तै, CVE-2021-3129) भित्र सुरक्षा कमजोरीहरूको शोषण गरेको अवलोकन गरिएको छ, एन्ड्रोक्सगह0स्ट जस्ता अन्य खतरा अभिनेताहरूले पनि प्रयोग गरेको विधि।
आक्रमणकारीहरूले बोटनेटको स्केल विस्तार गर्न प्रारम्भिक पहुँच प्रविधिहरूको एर्रेलाई फराकिलो बनाएको सङ्केतमा, अनुसन्धानकर्ताहरूले वर्डप्रेस साइटहरू सामान्यतया प्रयोग गरिएका प्रयोगकर्तानामहरू र पासवर्डहरू मार्फत सम्झौता भएको खुलासा गरेका छन्।
प्रवेश प्राप्त गरेपछि, पर्ल शेलबोट भनिने खतराको आधारमा ब्याकडोर प्रत्यारोपण गरिन्छ। पछि, पीडितको सर्भरलाई IRC (Internet Relay Chat) सर्भरसँग जोडिएको छ जुन कमाण्ड-एण्ड-कन्ट्रोल (C2) को रूपमा काम गर्दछ, ठूलो बोटनेटमा एकीकृत हुन्छ।
1 मे, 2023 मा स्थापित IRC सर्भर ('chat.juicessh.pro') सँग बोटनेटको आकारले 600 होस्टहरू पार गर्ने अनुमान गरिएको छ। यसले सामान्य सञ्चारको लागि, साथै बोटनेटहरू अर्केस्ट्रेट गर्न र क्रिप्टोमाइनिङ कार्यहरू समन्वय गर्न IRC मा धेरै निर्भर गर्दछ।
यसबाहेक, समूहका सदस्यहरूलाई #cristi नामक Undernet IRC च्यानल मार्फत सञ्चार गर्ने पहिचान गरिएको छ। थप रूपमा, तिनीहरूले सम्भावित नयाँ होस्टहरू पहिचान गर्न मास स्क्यानर उपकरण प्रयोग गर्छन्।
RUBYCARP साइबर अपराधीहरूले धेरै धोखाधडी आय स्ट्रिमहरू शोषण गर्छन्
साइबर खतरा ल्यान्डस्केपमा RUBYCARP को उदय थोरै अचम्मको रूपमा आउँछ, क्रेडिट कार्ड नम्बरहरू काट्ने उद्देश्यले क्रिप्टोमाइनिङ र फिसिङ अपरेसनहरू सहित विभिन्न अवैध आय स्ट्रिमहरूमा पहुँच गर्न तिनीहरूको बोटनेटको लाभ उठाउने क्षमता।
अनुसन्धानकर्ताहरूले खुलासा गरेअनुसार, क्रिप्टोमाइनिङ साइबर अपराध समूहको प्रारम्भिक दिनदेखि नै मुख्य प्रेरणा भएको छ। जबकि समूहले फिसिङ र DDoS आक्रमणहरू जस्ता गतिविधिहरूमा शाखा विस्तार गर्दै आफ्नो रणनीतिहरू विकसित गरेको छ, क्रिप्टोमाइनिङ यसको इतिहासभरि निरन्तर खोजी रहेको छ।
यद्यपि यस्तो देखिन्छ कि कटाई गरिएको क्रेडिट कार्ड डाटा मुख्य रूपमा आक्रमण पूर्वाधार प्राप्त गर्न प्रयोग गरिन्छ, मुद्रीकरणको वैकल्पिक माध्यमहरू, जस्तै साइबर अपराध भूमिगत भित्र जानकारी बेच्ने, पनि सम्भव छ।
यसबाहेक, खतरा अभिनेताहरू साइबर हतियारहरूको विकास र बिक्रीमा संलग्न छन्, एक अपेक्षाकृत असामान्य अभ्यास। वर्षौंमा संचित उपकरणहरूको विशाल शस्त्रागारको साथ, तिनीहरूसँग तिनीहरूको कार्यहरू कार्यान्वयन गर्न महत्त्वपूर्ण लचिलोपन छ।
