РУБИЦАРП Ботнет

Група претњи позната као РУБИЦАРП је откривена како управља трајним ботнетом за спровођење крипто рударења, дистрибуираног ускраћивања услуге (ДДоС) и пхисхинг напада. Истраживачи верују да РУБИЦАРП има румунско порекло.

Активан најмање деценију, РУБИЦАРП користи свој ботнет првенствено за финансијску добит. Њихов модус операнди укључује примену ботнета кроз различите јавне експлоатације и бруте-форце технике. Група комуницира преко јавних и приватних ИРЦ мрежа.

Првобитни налази указују на потенцијално преклапање између РУБИЦАРП-а и другог ентитета претње по имену Оутлав. Оутлав има искуство у ангажовању у рударењу криптовалута и нападима грубом силом, али је недавно преусмерио фокус на пхисхинг и спеар-пхисхинг кампање како би проширио своје циљеве.

РУБИЦАРП можда проширује своје методе напада

Ове е-поруке за пхисхинг често подстичу примаоце да открију информације у приватном власништву, као што су акредитиви за пријаву или финансијски подаци. Још један значајан аспект РУБИЦАРП-ове тактике укључује коришћење малвера познатог као СхеллБот (такође препознат као ПерлБот) за инфилтрирање у циљна окружења. Поред тога, примећено је да искоришћавају безбедносне пропусте у оквиру Ларавел Фрамеворк-а (нпр. ЦВЕ-2021-3129), методу који такође користе други актери претњи попут АндрокГх0ст .

Као индикација да су нападачи проширили свој низ техника иницијалног приступа како би проширили скалу ботнета, истраживачи су открили случајеве компромитовања ВордПресс сајтова путем често коришћених корисничких имена и лозинки.

По уласку, бацкдоор се имплантира на основу претње познате као Перл СхеллБот. Након тога, сервер жртве је повезан са ИРЦ (Интернет Релаи Цхат) сервером који функционише као Цомманд-анд-Цонтрол (Ц2), интегришући се у већи ботнет.

Процењује се да величина ботнета премашује 600 хостова, са ИРЦ сервером ('цхат.јуицессх.про') успостављеним 1. маја 2023. Он се у великој мери ослања на ИРЦ за општу комуникацију, као и за оркестрирање ботнета и координацију операција крипто-минирања.

Штавише, идентификовани су чланови групе који комуницирају преко Ундернет ИРЦ канала под називом #цристи. Поред тога, они користе алат за масовни скенер за идентификацију потенцијалних нових домаћина.

РУБИЦАРП сајбер криминалци искориштавају бројне лажне токове прихода

Појава РУБИЦАРП-а у окружењу сајбер претњи није изненађење, имајући у виду њихову способност да искористе свој ботнет за приступ разним незаконитим токовима прихода, укључујући операције криптоминирања и пхисхинга које имају за циљ прикупљање бројева кредитних картица.

Као што су истраживачи открили, криптомининг је био примарна мотивација групе за сајбер криминал од њених раних дана. Док је група еволуирала своју тактику, гранајући се на активности као што су пхисхинг и ДДоС напади, криптомининг је остао конзистентан потрага током своје историје.

Иако се чини да се прикупљени подаци о кредитним картицама првенствено користе за набавку инфраструктуре за нападе, могући су и алтернативни начини монетизације, као што је продаја информација унутар подземља сајбер криминала.

Штавише, актери претњи се баве развојем и продајом сајбер оружја, што је релативно неуобичајена пракса. Са огромним арсеналом алата акумулираних током година, они поседују значајну флексибилност у извршавању својих операција.