RUBYCARP Botnet
Isang grupo ng pagbabanta na kilala bilang RUBYCARP ang natukoy na nagpapatakbo ng patuloy na botnet para sa pagsasagawa ng crypto mining, distributed denial-of-service (DDoS) at phishing assaults. Naniniwala ang mga mananaliksik na ang RUBYCARP ay may pinagmulang Romanian.
Aktibo sa loob ng hindi bababa sa isang dekada, ginagamit ng RUBYCARP ang botnet nito pangunahin para sa mga kita sa pananalapi. Ang kanilang modus operandi ay kinabibilangan ng pag-deploy ng botnet sa pamamagitan ng iba't ibang pampublikong pagsasamantala at brute-force na diskarte. Ang grupo ay nakikipag-usap sa pamamagitan ng pampubliko at pribadong IRC network.
Ang mga unang natuklasan ay nagmumungkahi ng potensyal na magkakapatong sa pagitan ng RUBYCARP at isa pang entity ng pagbabanta na pinangalanang Outlaw. Ang Outlaw ay may track record ng pagsali sa crypto mining at brute-force na pag-atake ngunit kamakailan ay inilipat ang pagtuon sa phishing at spear-phishing na mga kampanya upang palawakin ang kanilang saklaw ng mga target.
Maaaring Pinalawak ng RUBYCARP ang Mga Paraan ng Pag-atake Nito
Ang mga phishing na email na ito ay madalas na humihikayat sa mga tatanggap na ibunyag ang pribadong pag-aari ng impormasyon, tulad ng mga kredensyal sa pag-log in o mga detalye sa pananalapi. Ang isa pang kapansin-pansing aspeto ng mga taktika ng RUBYCARP ay kinabibilangan ng paggamit ng malware na kilala bilang ShellBot (kilala rin bilang PerlBot) upang makalusot sa mga target na kapaligiran. Bukod pa rito, naobserbahan nilang pinagsasamantalahan ang mga kahinaan sa seguridad sa loob ng Laravel Framework (hal., CVE-2021-3129), isang paraan na ginagamit din ng iba pang mga banta na aktor tulad ng AndroxGh0st .
Sa isang indikasyon ng pagpapalawak ng mga umaatake sa kanilang hanay ng mga diskarte sa paunang pag-access upang palawakin ang sukat ng botnet, isiniwalat ng mga mananaliksik ang mga pagkakataon ng mga site ng WordPress na nakompromiso sa pamamagitan ng karaniwang ginagamit na mga username at password.
Sa pagkakaroon ng entry, isang backdoor ay itinanim batay sa isang banta na kilala bilang Perl ShellBot. Kasunod nito, ang server ng biktima ay naka-link sa isang server ng IRC (Internet Relay Chat) na gumagana bilang Command-and-Control (C2), na sumasama sa mas malaking botnet.
Ang laki ng botnet ay tinatayang hihigit sa 600 host, kasama ang IRC server ('chat.juicessh.pro') na itinatag noong Mayo 1, 2023. Lubos itong umaasa sa IRC para sa pangkalahatang komunikasyon, gayundin para sa pag-orkestra ng mga botnet at pag-coordinate ng mga operasyon ng cryptomining.
Bukod dito, ang mga miyembro ng grupo ay natukoy na nakikipag-usap sa pamamagitan ng Undernet IRC channel na pinangalanang #cristi. Bukod pa rito, gumagamit sila ng mass scanner tool upang matukoy ang mga potensyal na bagong host.
Sinasamantala ng Mga Cybercriminal ng RUBYCARP ang Maraming Mapanlinlang na Daloy ng Kita
Ang paglitaw ng RUBYCARP sa landscape ng cyber threat ay hindi gaanong nakakagulat, dahil sa kanilang kakayahang magamit ang kanilang botnet upang ma-access ang iba't ibang mga bawal na stream ng kita, kabilang ang cryptomining at phishing na mga operasyon na naglalayong anihin ang mga numero ng credit card.
Tulad ng natuklasan ng mga mananaliksik, ang cryptomining ay ang pangunahing motibasyon ng grupong cybercrime mula noong mga unang araw nito. Habang binago ng grupo ang mga taktika nito, sumasanga sa mga aktibidad tulad ng phishing at pag-atake ng DDoS, ang cryptomining ay nanatiling pare-parehong pagtugis sa buong kasaysayan nito.
Bagama't tila pangunahing ginagamit ang na-harvest na data ng credit card upang makakuha ng imprastraktura ng pag-atake, posible rin ang mga alternatibong paraan ng monetization, gaya ng pagbebenta ng impormasyon sa loob ng cybercrime sa ilalim ng lupa.
Higit pa rito, ang mga aktor ng pagbabanta ay nakikibahagi sa pagbuo at pagbebenta ng mga cyberweapon, isang medyo hindi pangkaraniwang kasanayan. Sa malawak na arsenal ng mga tool na naipon sa paglipas ng mga taon, nagtataglay sila ng makabuluhang flexibility sa pagsasagawa ng kanilang mga operasyon.
