RUBYCARP-botnet

Er is een bedreigingsgroep ontdekt die bekend staat als RUBYCARP en die een persistent botnet beheert voor het uitvoeren van cryptomining, gedistribueerde denial-of-service (DDoS) en phishing-aanvallen. Onderzoekers geloven dat RUBYCARP van Roemeense afkomst is.

RUBYCARP is al minimaal tien jaar actief en gebruikt zijn botnet voornamelijk voor financieel gewin. Hun modus operandi omvat het inzetten van een botnet via verschillende publieke exploits en brute-force-technieken. De groep communiceert via zowel publieke als private IRC-netwerken.

De eerste bevindingen suggereren een mogelijke overlap tussen RUBYCARP en een andere bedreigingsentiteit genaamd Outlaw. Outlaw heeft een staat van dienst op het gebied van cryptomining en brute-force-aanvallen, maar heeft onlangs de focus verlegd naar phishing- en spearphishing-campagnes om hun reikwijdte van doelwitten te verbreden.

RUBYCARP breidt mogelijk zijn aanvalsmethoden uit

Deze phishing-e-mails verleiden ontvangers vaak tot het vrijgeven van privé-informatie, zoals inloggegevens of financiële gegevens. Een ander opmerkelijk aspect van de tactiek van RUBYCARP is het gebruik van malware die bekend staat als ShellBot (ook bekend als PerlBot) om doelomgevingen te infiltreren. Bovendien is waargenomen dat ze beveiligingskwetsbaarheden binnen het Laravel Framework misbruiken (bijvoorbeeld CVE-2021-3129), een methode die ook wordt gebruikt door andere bedreigingsactoren zoals AndroxGh0st .

Als indicatie dat de aanvallers hun scala aan initiële toegangstechnieken uitbreiden om de schaal van het botnet uit te breiden, hebben onderzoekers voorbeelden onthuld van WordPress-sites die zijn gecompromitteerd via veelgebruikte gebruikersnamen en wachtwoorden.

Bij binnenkomst wordt een achterdeur geïmplanteerd op basis van een bedreiging die bekend staat als Perl ShellBot. Vervolgens wordt de server van het slachtoffer gekoppeld aan een IRC-server (Internet Relay Chat) die functioneert als Command-and-Control (C2) en integreert in het grotere botnet.

De omvang van het botnet wordt geschat op meer dan 600 hosts, waarbij de IRC-server ('chat.juicessh.pro') op 1 mei 2023 is opgericht. Het is sterk afhankelijk van IRC voor algemene communicatie, maar ook voor het orkestreren van botnets en het coördineren van cryptomining-operaties.

Bovendien zijn leden van de groep geïdentificeerd die communiceren via een Undernet IRC-kanaal met de naam #cristi. Bovendien gebruiken ze een massascanner om potentiële nieuwe hosts te identificeren.

RUBYCARP Cybercriminelen maken misbruik van talloze frauduleuze inkomstenstromen

De opkomst van RUBYCARP in het cyberdreigingslandschap is geen verrassing, gezien hun vermogen om hun botnet te gebruiken om toegang te krijgen tot verschillende illegale inkomstenstromen, waaronder cryptomining en phishing-operaties gericht op het verzamelen van creditcardnummers.

Zoals onderzoekers hebben ontdekt, is cryptomining al sinds het begin de belangrijkste motivatie van de cybercriminaliteitsgroep. Hoewel de groep zijn tactieken heeft ontwikkeld en zich heeft vertakt naar activiteiten als phishing en DDoS-aanvallen, is cryptomining door de geschiedenis heen een consistente bezigheid gebleven.

Hoewel het erop lijkt dat de verzamelde creditcardgegevens voornamelijk worden gebruikt om aanvalsinfrastructuur te verwerven, zijn alternatieve manieren om inkomsten te genereren, zoals het verkopen van de informatie binnen de cybercriminaliteitswereld, ook mogelijk.

Bovendien houden de dreigingsactoren zich bezig met het ontwikkelen en verkopen van cyberwapens, een relatief ongebruikelijke praktijk. Met een enorm arsenaal aan instrumenten dat ze in de loop der jaren hebben opgebouwd, beschikken ze over een aanzienlijke flexibiliteit bij het uitvoeren van hun operaties.