ரூபிகார்ப் பாட்நெட்

RUBYCARP எனப்படும் அச்சுறுத்தல் குழு கிரிப்டோ மைனிங், விநியோகிக்கப்பட்ட சேவை மறுப்பு (DDoS) மற்றும் ஃபிஷிங் தாக்குதல்களை நடத்துவதற்கு நிலையான பாட்நெட்டை இயக்குவது கண்டறியப்பட்டுள்ளது. RUBYCARP ருமேனிய வம்சாவளியைச் சேர்ந்தது என்று ஆராய்ச்சியாளர்கள் நம்புகின்றனர்.

குறைந்தபட்சம் ஒரு தசாப்தத்திற்கு செயலில், RUBYCARP அதன் பாட்நெட்டை முதன்மையாக நிதி ஆதாயங்களுக்காகப் பயன்படுத்துகிறது. பல்வேறு பொதுச் சுரண்டல்கள் மற்றும் ப்ரூட்-ஃபோர்ஸ் நுட்பங்கள் மூலம் ஒரு பாட்நெட்டைப் பயன்படுத்துவதை அவர்களின் செயல் முறை உள்ளடக்குகிறது. குழு பொது மற்றும் தனியார் IRC நெட்வொர்க்குகள் மூலம் தொடர்பு கொள்கிறது.

ஆரம்ப கண்டுபிடிப்புகள் RUBYCARP மற்றும் Outlaw என்ற பெயரிடப்பட்ட மற்றொரு அச்சுறுத்தல் நிறுவனத்திற்கு இடையே சாத்தியமான ஒன்றுடன் ஒன்று இருப்பதை பரிந்துரைக்கின்றன. கிரிப்டோ மைனிங் மற்றும் ப்ரூட்-ஃபோர்ஸ் தாக்குதல்களில் ஈடுபடுவதில் அவுட்லா ஒரு சாதனை படைத்துள்ளார், ஆனால் சமீபத்தில் ஃபிஷிங் மற்றும் ஸ்பியர்-ஃபிஷிங் பிரச்சாரங்களில் தங்கள் இலக்குகளை விரிவுபடுத்துவதற்காக கவனம் செலுத்தியுள்ளார்.

RUBYCARP அதன் தாக்குதல் முறைகளை விரிவுபடுத்துகிறது

இந்த ஃபிஷிங் மின்னஞ்சல்கள், உள்நுழைவு சான்றுகள் அல்லது நிதி விவரங்கள் போன்ற தனியாருக்குச் சொந்தமான தகவல்களை வெளியிடுவதற்கு பெறுநர்களை அடிக்கடி கவர்ந்திழுக்கும். RUBYCARP இன் தந்திரோபாயத்தின் மற்றொரு குறிப்பிடத்தக்க அம்சம், இலக்கு சூழல்களில் ஊடுருவ ஷெல்பாட் (PerlBot என்றும் அங்கீகரிக்கப்பட்டது) எனப்படும் தீம்பொருளைப் பயன்படுத்துவதை உள்ளடக்கியது. கூடுதலாக, அவர்கள் Laravel கட்டமைப்பிற்குள் (எ.கா., CVE-2021-3129) பாதுகாப்புக் குறைபாடுகளைப் பயன்படுத்துவதை அவதானித்தனர், இந்த முறை AndroxGh0st போன்ற பிற அச்சுறுத்தல் நடிகர்களால் பயன்படுத்தப்படுகிறது.

பாட்நெட்டின் அளவை விரிவுபடுத்துவதற்காக தாக்குபவர்கள் தங்கள் ஆரம்ப அணுகல் நுட்பங்களின் வரிசையை விரிவுபடுத்துவதைக் குறிக்கும் வகையில், பொதுவாகப் பயன்படுத்தப்படும் பயனர்பெயர்கள் மற்றும் கடவுச்சொற்கள் மூலம் வேர்ட்பிரஸ் தளங்கள் சமரசம் செய்யப்பட்ட நிகழ்வுகளை ஆராய்ச்சியாளர்கள் வெளிப்படுத்தியுள்ளனர்.

நுழைந்தவுடன், பெர்ல் ஷெல்பாட் எனப்படும் அச்சுறுத்தலின் அடிப்படையில் ஒரு பின்கதவு பொருத்தப்படுகிறது. பின்னர், பாதிக்கப்பட்டவரின் சேவையகம் IRC (இன்டர்நெட் ரிலே அரட்டை) சேவையகத்துடன் இணைக்கப்பட்டு, பெரிய பாட்நெட்டில் ஒருங்கிணைத்து, கட்டளை மற்றும் கட்டுப்பாடு (C2) ஆக செயல்படுகிறது.

மே 1, 2023 இல் நிறுவப்பட்ட IRC சேவையகத்துடன் ('chat.juicessh.pro') போட்நெட்டின் அளவு 600 ஹோஸ்ட்களை மிஞ்சும் என மதிப்பிடப்பட்டுள்ளது. இது பொதுத் தகவல்தொடர்புக்கும், போட்நெட்களை ஒழுங்கமைப்பதற்கும், கிரிப்டோமைனிங் செயல்பாடுகளை ஒருங்கிணைப்பதற்கும் IRCயை பெரிதும் நம்பியுள்ளது.

மேலும், குழுவின் உறுப்பினர்கள் #cristi என்ற அண்டர்நெட் IRC சேனல் மூலம் தொடர்புகொள்வது கண்டறியப்பட்டுள்ளது. கூடுதலாக, புதிய ஹோஸ்ட்களை அடையாளம் காண அவர்கள் ஒரு வெகுஜன ஸ்கேனர் கருவியைப் பயன்படுத்துகின்றனர்.

RUBYCARP சைபர் கிரைமினல்கள் பல மோசடியான வருமான வழிகளை பயன்படுத்துகின்றனர்

இணைய அச்சுறுத்தல் நிலப்பரப்பில் RUBYCARP வெளிப்படுவது சற்று ஆச்சரியத்தை அளிக்கிறது, கிரெடிட் கார்டு எண்களை அறுவடை செய்வதை நோக்கமாகக் கொண்ட கிரிப்டோமைனிங் மற்றும் ஃபிஷிங் செயல்பாடுகள் உட்பட பல்வேறு சட்டவிரோத வருமான வழிகளை அணுகுவதற்கு அவர்களின் பாட்நெட்டைப் பயன்படுத்துவதற்கான அவர்களின் திறனைக் கருத்தில் கொண்டு.

ஆராய்ச்சியாளர்கள் கண்டுபிடித்தபடி, கிரிப்டோமைனிங் அதன் ஆரம்ப நாட்களில் இருந்து சைபர் கிரைம் குழுவின் முதன்மை உந்துதலாக உள்ளது. ஃபிஷிங் மற்றும் DDoS தாக்குதல்கள் போன்ற செயல்களில் குழுவானது அதன் தந்திரோபாயங்களை உருவாக்கிக்கொண்டாலும், கிரிப்டோமைனிங் அதன் வரலாறு முழுவதும் ஒரு நிலையான நாட்டமாகவே இருந்து வருகிறது.

அறுவடை செய்யப்பட்ட கிரெடிட் கார்டு தரவு முதன்மையாக தாக்குதல் உள்கட்டமைப்பைப் பெறப் பயன்படுகிறது என்று தோன்றினாலும், சைபர் கிரைம் நிலத்தடிக்குள் தகவல்களை விற்பது போன்ற பணமாக்குதலுக்கான மாற்று வழிகளும் சாத்தியமாகும்.

மேலும், அச்சுறுத்தல் நடிகர்கள் இணைய ஆயுதங்களை உருவாக்கி விற்பனை செய்வதில் ஈடுபட்டுள்ளனர், இது ஒப்பீட்டளவில் அசாதாரணமான நடைமுறையாகும். பல ஆண்டுகளாக குவிக்கப்பட்ட கருவிகளின் பரந்த ஆயுதக் களஞ்சியத்துடன், அவர்கள் தங்கள் செயல்பாடுகளைச் செயல்படுத்துவதில் குறிப்பிடத்தக்க நெகிழ்வுத்தன்மையைக் கொண்டுள்ளனர்.