Ботнет RUBYCARP

Було виявлено групу загроз, відому як RUBYCARP, яка керує постійним ботнетом для проведення криптомайнінгу, розподіленої відмови в обслуговуванні (DDoS) і фішингових атак. Дослідники вважають, що RUBYCARP має румунське походження.

Працюючи щонайменше десять років, RUBYCARP використовує свій ботнет переважно для фінансової вигоди. Їхній спосіб роботи передбачає розгортання ботнету за допомогою різноманітних публічних експлойтів і методів грубої сили. Група спілкується через публічну та приватну мережі IRC.

Початкові дані свідчать про потенційне збігання між RUBYCARP та іншою загрозливою організацією під назвою Outlaw. Outlaw має досвід участі в криптомайнінгу та атаках грубою силою, але нещодавно зосередився на фішингових і фішингових кампаніях, щоб розширити коло своїх цілей.

RUBYCARP може розширити свої методи атак

Ці фішингові електронні листи часто спонукають одержувачів розголошувати приватну інформацію, таку як облікові дані для входу або фінансові дані. Інший вартий уваги аспект тактики RUBYCARP передбачає використання шкідливого програмного забезпечення, відомого як ShellBot (також відомого як PerlBot), для проникнення в цільове середовище. Крім того, було помічено використання вразливостей системи безпеки в Laravel Framework (наприклад, CVE-2021-3129), метод, який також використовують інші загрозливі особи, такі як AndroxGh0st .

На ознаку того, що зловмисники розширюють спектр методів початкового доступу, щоб розширити масштаби ботнету, дослідники розкрили випадки зламу сайтів WordPress через імена користувачів і паролі, які зазвичай використовуються.

Після входу імплантується бекдор на основі загрози, відомої як Perl ShellBot. Згодом сервер жертви підключається до сервера IRC (Internet Relay Chat), який функціонує як командно-контрольний сервер (C2), інтегрується в більшу ботнет.

Розмір ботнету, за оцінками, перевищує 600 хостів, а IRC-сервер (chat.juicessh.pro) було створено 1 травня 2023 року. Він значною мірою покладається на IRC для загального зв’язку, а також для оркестрування бот-мереж і координації операцій криптомайнінгу.

Крім того, було ідентифіковано членів групи, які спілкувалися через канал Undernet IRC під назвою #cristi. Крім того, вони використовують інструмент масового сканування для виявлення потенційних нових хостів.

Кіберзлочинці RUBYCARP використовують численні шахрайські джерела доходу

Поява RUBYCARP у середовищі кіберзагроз не є несподіванкою, враховуючи їх здатність використовувати свій ботнет для доступу до різних потоків незаконного доходу, включаючи криптомайнінг і фішингові операції, спрямовані на отримання номерів кредитних карток.

Як виявили дослідники, криптомайнінг був основною мотивацією групи кіберзлочинців з перших днів її існування. Хоча група розвинула свою тактику, розгалужуючись на такі види діяльності, як фішинг і DDoS-атаки, криптомайнінг залишався послідовним заняттям протягом усієї своєї історії.

Хоча здається, що зібрані дані кредитної картки в основному використовуються для отримання інфраструктури атак, альтернативні способи монетизації, такі як продаж інформації в підпіллі кіберзлочинців, також можливі.

Крім того, суб’єкти загроз займаються розробкою та продажем кіберзброї, що є відносно рідкісною практикою. Завдяки величезному арсеналу інструментів, накопиченому роками, вони володіють значною гнучкістю у виконанні своїх операцій.