Ботнет RUBYCARP

Была обнаружена группа угроз, известная как RUBYCARP, управляющая постоянным ботнетом для майнинга криптовалют, распределенного отказа в обслуживании (DDoS) и фишинговых атак. Исследователи полагают, что RUBYCARP имеет румынское происхождение.

RUBYCARP, действующий не менее десяти лет, использует свой ботнет в первую очередь для получения финансовой выгоды. Их образ действий предполагает развертывание ботнета с помощью различных публичных эксплойтов и методов грубой силы. Группа общается как через публичные, так и через частные сети IRC.

Первоначальные результаты предполагают потенциальное совпадение между RUBYCARP и другой угрозой, названной Outlaw. Outlaw имеет опыт участия в майнинге криптовалют и атаках методом грубой силы, но в последнее время сместил акцент на фишинговые и целевые фишинговые кампании, чтобы расширить круг своих целей.

RUBYCARP может расширить свои методы атаки

Эти фишинговые электронные письма часто побуждают получателей раскрыть частную информацию, например учетные данные для входа или финансовые данные. Еще один примечательный аспект тактики RUBYCARP предполагает использование вредоносного ПО, известного как ShellBot (также известного как PerlBot), для проникновения в целевые среды. Кроме того, было замечено, что они использовали уязвимости безопасности в Laravel Framework (например, CVE-2021-3129), метод, который также используется другими злоумышленниками, такими как AndroxGh0st .

В качестве свидетельства того, что злоумышленники расширяют спектр методов первоначального доступа для расширения масштаба ботнета, исследователи обнаружили случаи компрометации сайтов WordPress с помощью часто используемых имен пользователей и паролей.

При входе в систему внедряется бэкдор, основанный на угрозе, известной как Perl ShellBot. Впоследствии сервер жертвы подключается к серверу IRC (Internet Relay Chat), выполняющему функции управления и контроля (C2), интегрируясь в более крупный ботнет.

По оценкам, размер ботнета превысит 600 хостов, при этом IRC-сервер («chat.juicessh.pro») был открыт 1 мая 2023 года. Он в значительной степени зависит от IRC для общего общения, а также для организации ботнетов и координации операций по майнингу криптовалют.

Кроме того, было установлено, что члены группы общаются через IRC-канал Undernet под названием #cristi. Кроме того, они используют инструмент массового сканирования для выявления потенциальных новых хостов.

Киберпреступники RUBYCARP используют многочисленные мошеннические источники дохода

Появление RUBYCARP в сфере киберугроз не вызывает особого удивления, учитывая их способность использовать свой ботнет для доступа к различным незаконным потокам доходов, включая криптомайнинг и фишинговые операции, направленные на сбор номеров кредитных карт.

Как выяснили исследователи, майнинг криптовалют был основной мотивацией киберпреступной группировки с первых дней ее существования. Хотя группа развивала свою тактику, перейдя на такие виды деятельности, как фишинг и DDoS-атаки, майнинг криптовалют оставался постоянным занятием на протяжении всей ее истории.

Хотя кажется, что собранные данные кредитных карт в основном используются для приобретения инфраструктуры атак, возможны и альтернативные способы монетизации, такие как продажа информации в рамках киберпреступного подполья.

Кроме того, злоумышленники занимаются разработкой и продажей кибероружия, что является относительно редкой практикой. Благодаря обширному арсеналу инструментов, накопленному за годы, они обладают значительной гибкостью в выполнении своих операций.