Botnet RUBYCARP

Wykryto grupę zagrożeń znaną jako RUBYCARP obsługującą trwały botnet służący do wydobywania kryptowalut, rozproszonej odmowy usługi (DDoS) i ataków phishingowych. Naukowcy uważają, że RUBYCARP ma rumuńskie pochodzenie.

Działający od co najmniej dziesięciu lat RUBYCARP wykorzystuje swój botnet głównie do celów finansowych. Ich sposób działania polega na wdrażaniu botnetu przy użyciu różnych publicznych exploitów i technik brute-force. Grupa komunikuje się zarówno poprzez publiczne, jak i prywatne sieci IRC.

Wstępne ustalenia sugerują potencjalne nakładanie się działania RUBYCARP i innego groźnego podmiotu o nazwie Outlaw. Outlaw ma doświadczenie w wydobywaniu kryptowalut i atakach typu brute-force, ale ostatnio skupił się na kampaniach phishingowych i spear-phishingowych, aby poszerzyć zakres celów.

RUBYCARP może rozszerzać swoje metody ataku

Te e-maile phishingowe często zachęcają odbiorców do ujawnienia informacji będących własnością prywatną, takich jak dane logowania lub dane finansowe. Innym godnym uwagi aspektem taktyki RUBYCARP jest wykorzystanie szkodliwego oprogramowania znanego jako ShellBot (znanego również jako PerlBot) do infiltrowania środowisk docelowych. Ponadto zaobserwowano, że wykorzystują one luki w zabezpieczeniach środowiska Laravel Framework (np. CVE-2021-3129), metodę stosowaną również przez inne podmioty zagrażające, takie jak AndroxGh0st .

Wskazując na to, że osoby atakujące poszerzają zakres technik początkowego dostępu w celu zwiększenia skali botnetu, badacze ujawnili przypadki włamań do witryn WordPress za pośrednictwem powszechnie używanych nazw użytkowników i haseł.

Po uzyskaniu dostępu do systemu zostaje wszczepiony backdoor oparty na zagrożeniu znanym jako Perl ShellBot. Następnie serwer ofiary jest łączony z serwerem IRC (Internet Relay Chat), który działa jako system dowodzenia i kontroli (C2), integrując się z większym botnetem.

Szacuje się, że rozmiar botnetu przekracza 600 hostów, a serwer IRC („chat.juicessh.pro”) został uruchomiony 1 maja 2023 r. W dużym stopniu opiera się on na IRC w zakresie ogólnej komunikacji, a także organizowania botnetów i koordynowania operacji wydobywania kryptowalut.

Co więcej, zidentyfikowano członków grupy komunikujących się za pośrednictwem kanału IRC Undernet o nazwie #cristi. Dodatkowo wykorzystują narzędzie masowego skanera do identyfikacji potencjalnych nowych hostów.

Cyberprzestępcy RUBYCARP wykorzystują liczne oszukańcze źródła dochodów

Pojawienie się RUBYCARP w krajobrazie cyberzagrożeń nie jest zaskoczeniem, biorąc pod uwagę jego zdolność do wykorzystania swojego botnetu w celu uzyskania dostępu do różnych nielegalnych źródeł dochodów, w tym do wydobywania kryptowalut i operacji phishingowych mających na celu przechwytywanie numerów kart kredytowych.

Jak odkryli badacze, wydobywanie kryptowalut było główną motywacją tej grupy cyberprzestępczej od jej początków. Chociaż grupa ewoluowała swoją taktykę, rozszerzając się na działania takie jak phishing i ataki DDoS, wydobywanie kryptowalut pozostawało konsekwentnym zajęciem w całej jej historii.

Chociaż wydaje się, że zebrane dane dotyczące kart kredytowych są wykorzystywane przede wszystkim do zdobywania infrastruktury ataku, możliwe są również alternatywne sposoby monetyzacji, takie jak sprzedaż informacji w podziemiu cyberprzestępczym.

Co więcej, ugrupowania zagrażające zajmują się opracowywaniem i sprzedażą cyberbroni, co jest stosunkowo rzadką praktyką. Dzięki bogatemu arsenałowi narzędzi zgromadzonemu przez lata, posiadają znaczną elastyczność w wykonywaniu swoich operacji.