RUBYCARP Botnet

En hotgrupp känd som RUBYCARP har upptäckts som driver ett beständigt botnät för att utföra kryptomining, distribuerad denial-of-service (DDoS) och nätfiskeangrepp. Forskare tror att RUBYCARP har rumänskt ursprung.

RUBYCARP har varit aktivt i minst ett decennium och använder sitt botnät främst för ekonomiska vinster. Deras arbetssätt involverar att distribuera ett botnät genom olika offentliga utnyttjande och brute-force-tekniker. Gruppen kommunicerar genom både offentliga och privata IRC-nätverk.

De första resultaten tyder på en potentiell överlappning mellan RUBYCARP och en annan hotenhet som heter Outlaw. Outlaw har en meritlista av att engagera sig i kryptomining och brute-force-attacker men har nyligen flyttat fokus mot nätfiske- och spjutfiskekampanjer för att bredda deras omfattning av mål.

RUBYCARP kan utöka sina attackmetoder

Dessa nätfiske-e-postmeddelanden lockar ofta mottagare att avslöja privatägd information, såsom inloggningsuppgifter eller ekonomiska uppgifter. En annan anmärkningsvärd aspekt av RUBYCARP:s taktik involverar att använda en skadlig programvara känd som ShellBot (även känd som PerlBot) för att infiltrera målmiljöer. Dessutom har de observerats utnyttja säkerhetssårbarheter inom Laravel Framework (t.ex. CVE-2021-3129), en metod som också används av andra hotaktörer som AndroxGh0st .

Som en indikation på att angriparna breddar sitt utbud av initiala åtkomsttekniker för att utöka botnätets skala, har forskare avslöjat fall av WordPress-webbplatser som äventyrats genom vanliga användarnamn och lösenord.

När man kommer in, implanteras en bakdörr baserat på ett hot som kallas Perl ShellBot. Därefter länkas offrets server till en IRC-server (Internet Relay Chat) som fungerar som Command-and-Control (C2), som integreras i det större botnätet.

Botnätets storlek beräknas överstiga 600 värdar, med IRC-servern ('chat.juicessh.pro') etablerad den 1 maj 2023. Den förlitar sig starkt på IRC för allmän kommunikation, såväl som för orkestrering av botnät och koordinering av kryptomineringsoperationer.

Dessutom har medlemmar i gruppen identifierats som kommunicerar via en Undernet IRC-kanal som heter #cristi. Dessutom använder de ett massskannerverktyg för att identifiera potentiella nya värdar.

RUBYCARP cyberbrottslingar utnyttjar många bedrägliga inkomstströmmar

RUBYCARP:s uppkomst i cyberhotslandskapet kommer inte som någon överraskning, med tanke på deras förmåga att utnyttja sitt botnät för att komma åt olika olagliga inkomstströmmar, inklusive kryptominering och nätfiske som syftar till att samla in kreditkortsnummer.

Som forskare har upptäckt har kryptominering varit cyberbrottsgruppens främsta motivation sedan dess tidiga dagar. Medan gruppen har utvecklat sin taktik, förgrenat sig till aktiviteter som nätfiske och DDoS-attacker, har kryptominering förblivit en konsekvent strävan genom hela sin historia.

Även om det verkar som att insamlad kreditkortsdata främst används för att skaffa attackinfrastruktur, är alternativa sätt att tjäna pengar, som att sälja informationen inom cyberbrottslighetens underjordiska, också möjliga.

Dessutom är hotaktörerna engagerade i att utveckla och sälja cybervapen, en relativt ovanlig praxis. Med en stor arsenal av verktyg som samlats under åren har de en betydande flexibilitet när det gäller att utföra sin verksamhet.