RUBYCARP Botnet'i

RUBYCARP olarak bilinen bir tehdit grubunun, kripto madenciliği, dağıtılmış hizmet reddi (DDoS) ve kimlik avı saldırıları gerçekleştirmek için kalıcı bir botnet çalıştırdığı tespit edildi. Araştırmacılar RUBYCARP'ın Romanya kökenli olduğuna inanıyor.

En az on yıldır aktif olan RUBYCARP, botnet'ini öncelikle finansal kazançlar için kullanıyor. Yöntemleri, çeşitli kamuya açık istismarlar ve kaba kuvvet teknikleri yoluyla bir botnet'in konuşlandırılmasını içerir. Grup hem genel hem de özel IRC ağları aracılığıyla iletişim kurar.

İlk bulgular, RUBYCARP ile Outlaw adlı başka bir tehdit varlığı arasında potansiyel bir örtüşme olduğunu gösteriyor. Outlaw'ın kripto madenciliği ve kaba kuvvet saldırıları konusunda bir geçmişi var ancak son zamanlarda hedef kapsamlarını genişletmek için odak noktasını kimlik avı ve hedef odaklı kimlik avı kampanyalarına kaydırdı.

RUBYCARP Saldırı Yöntemlerini Genişletiyor Olabilir

Bu kimlik avı e-postaları sıklıkla alıcıları, oturum açma kimlik bilgileri veya finansal ayrıntılar gibi özel mülkiyete ait bilgileri ifşa etmeye teşvik eder. RUBYCARP'ın taktiklerinin bir diğer dikkate değer yönü, hedef ortamlara sızmak için ShellBot (aynı zamanda PerlBot olarak da bilinir) olarak bilinen bir kötü amaçlı yazılımın kullanılmasını içerir. Ek olarak, AndroxGh0st gibi diğer tehdit aktörleri tarafından da kullanılan bir yöntem olan Laravel Çerçevesindeki (örn. CVE-2021-3129) güvenlik açıklarından yararlandıkları gözlemlendi.

Saldırganların botnet'in ölçeğini genişletmek için ilk erişim tekniklerini genişlettiklerinin bir göstergesi olarak araştırmacılar, yaygın olarak kullanılan kullanıcı adları ve şifreler aracılığıyla WordPress sitelerinin ele geçirildiği örneklerini açığa çıkardı.

Giriş kazanıldığında Perl ShellBot olarak bilinen bir tehdide dayalı bir arka kapı yerleştirilir. Daha sonra kurbanın sunucusu, Komuta ve Kontrol (C2) işlevi gören ve daha büyük botnet'e entegre olan bir IRC (İnternet Aktarmalı Sohbet) sunucusuna bağlanır.

1 Mayıs 2023'te kurulan IRC sunucusuyla ('chat.juicessh.pro') botnet'in boyutunun 600 ana bilgisayarı aşacağı tahmin ediliyor. Genel iletişimin yanı sıra botnet'leri düzenlemek ve kripto madenciliği operasyonlarını koordine etmek için büyük ölçüde IRC'ye güveniyor.

Ayrıca grup üyelerinin #cristi isimli Undernet IRC kanalı üzerinden iletişim kurduğu da tespit edildi. Ek olarak, potansiyel yeni ana bilgisayarları belirlemek için toplu bir tarayıcı aracı kullanıyorlar.

RUBYCARP Siber Suçluları Çok Sayıda Hileli Gelir Akışından Yararlanıyor

Kredi kartı numaralarını toplamayı amaçlayan kripto madenciliği ve kimlik avı operasyonları da dahil olmak üzere çeşitli yasa dışı gelir akışlarına erişmek için botnet'lerinden yararlanma yetenekleri göz önüne alındığında, RUBYCARP'ın siber tehdit ortamında ortaya çıkışı pek de şaşırtıcı değil.

Araştırmacıların ortaya çıkardığı gibi, kripto madenciliği siber suç grubunun ilk günlerinden beri temel motivasyonu olmuştur. Grup, kimlik avı ve DDoS saldırıları gibi faaliyetlere ayrılarak taktiklerini geliştirirken, kripto madenciliği tarih boyunca tutarlı bir arayış olarak kaldı.

Toplanan kredi kartı verilerinin öncelikli olarak saldırı altyapısını elde etmek için kullanıldığı görülse de, siber suç kapsamında bilgilerin yeraltında satılması gibi alternatif para kazanma yolları da mümkün.

Ayrıca tehdit aktörleri, nispeten nadir görülen bir uygulama olan siber silah geliştirme ve satma faaliyetleriyle de meşgul. Yıllar boyunca biriktirilen geniş bir araç deposuyla, operasyonlarını yürütmede önemli bir esnekliğe sahiptirler.