RUBYCARP Botnet

Odkrita je bila skupina groženj, znana kot RUBYCARP, ki upravlja vztrajni botnet za izvajanje kripto rudarjenja, porazdeljene zavrnitve storitve (DDoS) in lažnega predstavljanja. Raziskovalci menijo, da je RUBYCARP romunskega izvora.

RUBYCARP, ki deluje že najmanj desetletje, svoj botnet uporablja predvsem za finančne dobičke. Njihov modus operandi vključuje uvajanje botneta z različnimi javnimi izkoriščanji in tehnikami surove sile. Skupina komunicira prek javnih in zasebnih omrežij IRC.

Začetne ugotovitve kažejo na morebitno prekrivanje med RUBYCARP in drugo grožnjo, imenovano Outlaw. Outlaw ima izkušnje z vključevanjem v kripto rudarjenje in napade s surovo silo, vendar se je pred kratkim osredotočil na kampanje lažnega predstavljanja in lažnega predstavljanja, da bi razširil obseg svojih ciljev.

RUBYCARP morda širi svoje metode napada

Ta lažna e-poštna sporočila prejemnike pogosto premamijo, da razkrijejo podatke v zasebni lasti, kot so poverilnice za prijavo ali finančni podatki. Drug omembe vreden vidik taktike RUBYCARP vključuje uporabo zlonamerne programske opreme, znane kot ShellBot (prepoznan tudi kot PerlBot), za infiltracijo v ciljna okolja. Poleg tega so opazili, da izkoriščajo varnostne ranljivosti znotraj ogrodja Laravel (npr. CVE-2021-3129), metodo, ki jo uporabljajo tudi drugi akterji groženj, kot je AndroxGh0st .

Raziskovalci so razkrili primere, ko so bila spletna mesta WordPress ogrožena prek pogosto uporabljenih uporabniških imen in gesel, kar kaže na to, da napadalci širijo svojo paleto tehnik za začetni dostop, da bi razširili obseg botneta.

Ob vstopu se na podlagi grožnje, znane kot Perl ShellBot, vsadi stranska vrata. Nato je strežnik žrtve povezan s strežnikom IRC (Internet Relay Chat), ki deluje kot Command-and-Control (C2) in se integrira v večji botnet.

Ocenjuje se, da velikost botneta presega 600 gostiteljev, s strežnikom IRC ('chat.juicessh.pro'), vzpostavljenim 1. maja 2023. V veliki meri se zanaša na IRC za splošno komunikacijo, pa tudi za orkestriranje botnetov in koordinacijo operacij kriptokopanja.

Poleg tega je bilo ugotovljeno, da člani skupine komunicirajo prek kanala Undernet IRC z imenom #cristi. Poleg tega uporabljajo orodje za množično skeniranje za prepoznavanje potencialnih novih gostiteljev.

RUBYCARP Kibernetski kriminalci izkoriščajo številne goljufive tokove dohodka

Pojav RUBYCARP-a v krajini kibernetskih groženj ni presenetljiv, glede na njihovo sposobnost, da izkoristijo svoj botnet za dostop do različnih nezakonitih tokov dohodka, vključno s operacijami kriptokopanja in lažnega predstavljanja, katerih cilj je pridobivanje številk kreditnih kartic.

Kot so odkrili raziskovalci, je kripto rudarjenje glavna motivacija kibernetske kriminalne skupine že od začetka. Medtem ko je skupina razvila svojo taktiko in se razširila na dejavnosti, kot so napadi z lažnim predstavljanjem in DDoS, je rudarjenje s kripto ostalo dosledno zasledovanje v svoji zgodovini.

Čeprav se zdi, da se pridobljeni podatki o kreditnih karticah uporabljajo predvsem za pridobitev napadalne infrastrukture, so možni tudi alternativni načini monetizacije, kot je prodaja informacij v podzemlju kibernetskega kriminala.

Poleg tega se akterji groženj ukvarjajo z razvojem in prodajo kibernetskega orožja, kar je relativno neobičajna praksa. Z obsežnim arzenalom orodij, ki so jih nabrali v preteklih letih, imajo veliko prilagodljivost pri izvajanju svojih operacij.