RUBYCARP บอตเน็ต

ตรวจพบกลุ่มภัยคุกคามที่รู้จักกันในชื่อ RUBYCARP ที่กำลังปฏิบัติการบอตเน็ตแบบถาวรสำหรับการขุด crypto การปฏิเสธการให้บริการแบบกระจาย (DDoS) และการโจมตีแบบฟิชชิ่ง นักวิจัยเชื่อว่า RUBYCARP มีต้นกำเนิดจากโรมาเนีย

RUBYCARP มีการใช้งานมาเป็นเวลาอย่างน้อยหนึ่งทศวรรษ โดยใช้บอตเน็ตเพื่อผลประโยชน์ทางการเงินเป็นหลัก วิธีการดำเนินการของพวกเขาเกี่ยวข้องกับการปรับใช้บอตเน็ตผ่านการหาประโยชน์สาธารณะและเทคนิคแบบเดรัจฉาน กลุ่มสื่อสารผ่านเครือข่าย IRC ทั้งภาครัฐและเอกชน

การค้นพบเบื้องต้นชี้ให้เห็นถึงความทับซ้อนกันที่อาจเกิดขึ้นระหว่าง RUBYCARP และหน่วยงานภัยคุกคามอื่นที่ชื่อว่า Outlaw Outlaw มีประวัติในการมีส่วนร่วมในการทำเหมือง crypto และการโจมตีแบบ brute-force แต่เมื่อเร็ว ๆ นี้ ได้เปลี่ยนความสนใจไปที่แคมเปญฟิชชิ่งและฟิชชิ่งแบบหอกเพื่อขยายขอบเขตเป้าหมาย

RUBYCARP อาจขยายวิธีการโจมตี

อีเมลฟิชชิ่งเหล่านี้มักดึงดูดผู้รับให้เปิดเผยข้อมูลส่วนตัว เช่น ข้อมูลการเข้าสู่ระบบหรือรายละเอียดทางการเงิน แง่มุมที่น่าสังเกตอีกประการหนึ่งของกลยุทธ์ของ RUBYCARP เกี่ยวข้องกับการใช้มัลแวร์ที่เรียกว่า ShellBot (หรือที่รู้จักในชื่อ PerlBot) เพื่อแทรกซึมสภาพแวดล้อมเป้าหมาย นอกจากนี้ ยังพบว่าพวกเขาใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยภายใน Laravel Framework (เช่น CVE-2021-3129) ซึ่งเป็นวิธีการที่ใช้โดยผู้คุกคามอื่นๆ เช่น AndroxGh0st

เพื่อเป็นการบ่งชี้ว่าผู้โจมตีขยายขอบเขตเทคนิคการเข้าถึงเบื้องต้นเพื่อขยายขนาดของบ็อตเน็ต นักวิจัยได้เปิดเผยกรณีของไซต์ WordPress ที่ถูกบุกรุกผ่านชื่อผู้ใช้และรหัสผ่านที่ใช้กันทั่วไป

เมื่อเข้าไปได้ ประตูหลังจะถูกฝังโดยอาศัยภัยคุกคามที่เรียกว่า Perl ShellBot ต่อจากนั้น เซิร์ฟเวอร์ของเหยื่อจะเชื่อมโยงกับเซิร์ฟเวอร์ IRC (Internet Relay Chat) ที่ทำงานเป็น Command-and-Control (C2) ซึ่งรวมเข้ากับบอตเน็ตที่ใหญ่กว่า

ขนาดของบ็อตเน็ตคาดว่าจะเกินโฮสต์ 600 แห่ง โดยเซิร์ฟเวอร์ IRC ('chat.juicessh.pro') ก่อตั้งขึ้นเมื่อวันที่ 1 พฤษภาคม 2566 โดยอาศัย IRC อย่างมากในการสื่อสารทั่วไป ตลอดจนการจัดเตรียมบอตเน็ตและการประสานงานการดำเนินการขุดคริปโต

นอกจากนี้ สมาชิกของกลุ่มยังได้รับการระบุว่ากำลังสื่อสารผ่านช่องทาง Undernet IRC ชื่อ #cristi นอกจากนี้พวกเขายังใช้เครื่องมือสแกนจำนวนมากเพื่อระบุโฮสต์ใหม่ที่มีศักยภาพ

อาชญากรไซเบอร์ RUBYCARP ใช้ประโยชน์จากแหล่งรายได้ที่ฉ้อโกงจำนวนมาก

การเกิดขึ้นของ RUBYCARP ในด้านภัยคุกคามทางไซเบอร์นั้นเป็นเรื่องที่น่าประหลาดใจเล็กน้อย เมื่อพิจารณาจากความสามารถในการใช้ประโยชน์จากบอตเน็ตเพื่อเข้าถึงแหล่งรายได้ที่ผิดกฎหมายต่างๆ รวมถึงการขุดคริปโตและการดำเนินการฟิชชิ่งที่มุ่งเป้าไปที่การเก็บเกี่ยวหมายเลขบัตรเครดิต

ตามที่นักวิจัยได้ค้นพบ การขุด cryptomining เป็นแรงจูงใจหลักของกลุ่มอาชญากรรมในโลกไซเบอร์นับตั้งแต่ยุคแรกเริ่ม ในขณะที่กลุ่มได้พัฒนากลยุทธ์ โดยแยกออกเป็นกิจกรรมต่างๆ เช่น ฟิชชิ่งและการโจมตี DDoS การขุด cryptomining ยังคงเป็นการติดตามอย่างต่อเนื่องตลอดประวัติศาสตร์

แม้ว่าดูเหมือนว่าข้อมูลบัตรเครดิตที่เก็บเกี่ยวมาจะถูกนำไปใช้เพื่อรับโครงสร้างพื้นฐานการโจมตีเป็นหลัก แต่วิธีการสร้างรายได้ทางเลือกอื่น เช่น การขายข้อมูลภายในอาชญากรรมไซเบอร์ใต้ดิน ก็เป็นไปได้เช่นกัน

นอกจากนี้ ผู้คุกคามยังมีส่วนร่วมในการพัฒนาและจำหน่ายอาวุธไซเบอร์ ซึ่งเป็นแนวทางปฏิบัติที่ค่อนข้างไม่ธรรมดา ด้วยคลังเครื่องมือมากมายที่สั่งสมมานานหลายปี พวกเขาจึงมีความยืดหยุ่นอย่างมากในการดำเนินการ