Botnet RUBYCARP

Bola zistená skupina hrozieb známa ako RUBYCARP, ktorá prevádzkuje pretrvávajúci botnet na vykonávanie ťažby kryptomien, distribuovaného odmietnutia služby (DDoS) a phishingových útokov. Výskumníci sa domnievajú, že RUBYCARP má rumunský pôvod.

RUBYCARP, ktorý je aktívny minimálne desať rokov, využíva svoj botnet predovšetkým na finančné zisky. Ich modus operandi zahŕňa nasadenie botnetu prostredníctvom rôznych verejných exploitov a techník hrubej sily. Skupina komunikuje prostredníctvom verejných aj súkromných IRC sietí.

Počiatočné zistenia naznačujú potenciálne prekrývanie medzi RUBYCARP a ďalšou hrozbou s názvom Outlaw. Outlaw má skúsenosti s ťažbou kryptomien a útokmi hrubou silou, ale nedávno sa zameral na phishing a spear-phishing kampane, aby rozšírili svoje ciele.

RUBYCARP môže rozširovať svoje metódy útoku

Tieto phishingové e-maily často lákajú príjemcov, aby prezradili informácie v súkromnom vlastníctve, ako sú prihlasovacie údaje alebo finančné údaje. Ďalším pozoruhodným aspektom taktiky RUBYCARP je použitie malvéru známeho ako ShellBot (známy aj ako PerlBot) na infiltráciu cieľových prostredí. Okrem toho boli pozorovaní pri využívaní bezpečnostných zraniteľností v rámci Laravel Framework (napr. CVE-2021-3129), čo je metóda, ktorú využívajú aj iní aktéri hrozieb ako AndroxGh0st .

Ako náznak toho, že útočníci rozšírili svoje pole počiatočných prístupových techník, aby rozšírili rozsah botnetu, výskumníci odhalili prípady, keď boli stránky WordPress kompromitované prostredníctvom bežne používaných používateľských mien a hesiel.

Po získaní vstupu sa implantujú zadné vrátka na základe hrozby známej ako Perl ShellBot. Následne je server obete prepojený so serverom IRC (Internet Relay Chat) fungujúcim ako príkaz a riadenie (C2), ktorý sa integruje do väčšieho botnetu.

Veľkosť botnetu sa odhaduje na viac ako 600 hostiteľov, pričom IRC server ('chat.juicessh.pro') bol zriadený 1. mája 2023. Vo veľkej miere sa spolieha na IRC pri všeobecnej komunikácii, ako aj pri organizovaní botnetov a koordinácii kryptominačných operácií.

Okrem toho boli identifikovaní členovia skupiny, ktorí komunikujú cez kanál Undernet IRC s názvom #cristi. Okrem toho využívajú nástroj hromadného skenovania na identifikáciu potenciálnych nových hostiteľov.

RUBYCARP Kyberzločinci využívajú množstvo podvodných príjmových tokov

Objavenie sa RUBYCARP v prostredí kybernetických hrozieb nie je prekvapením vzhľadom na ich schopnosť využiť svoj botnet na prístup k rôznym nezákonným tokom príjmov, vrátane kryptominácie a phishingových operácií zameraných na získavanie čísel kreditných kariet.

Ako vedci odhalili, kryptominácia bola primárnou motiváciou skupiny kyberzločincov od jej počiatkov. Zatiaľ čo skupina vyvinula svoju taktiku a rozvetvila sa do aktivít, ako sú phishing a DDoS útoky, kryptominácia zostala počas svojej histórie konzistentnou činnosťou.

Hoci sa zdá, že zozbierané údaje o kreditných kartách sa primárne používajú na získanie útočnej infraštruktúry, možné sú aj alternatívne spôsoby speňaženia, ako napríklad predaj informácií v rámci kyberzločinu.

Okrem toho sa aktéri hrozieb podieľajú na vývoji a predaji kybernetických zbraní, čo je pomerne neobvyklá prax. S rozsiahlym arzenálom nástrojov nahromadených v priebehu rokov majú značnú flexibilitu pri vykonávaní svojich operácií.