Mạng botnet RUBYCARP

Một nhóm đe dọa có tên RUBYCARP đã bị phát hiện đang vận hành một mạng botnet dai dẳng để tiến hành khai thác tiền điện tử, tấn công từ chối dịch vụ phân tán (DDoS) và các cuộc tấn công lừa đảo. Các nhà nghiên cứu tin rằng RUBYCARP có nguồn gốc từ Romania.

Hoạt động tối thiểu trong một thập kỷ, RUBYCARP sử dụng mạng botnet của mình chủ yếu để thu lợi tài chính. Phương thức hoạt động của họ liên quan đến việc triển khai một mạng botnet thông qua nhiều cách khai thác công khai và kỹ thuật vũ phu khác nhau. Nhóm liên lạc thông qua cả mạng IRC công cộng và riêng tư.

Những phát hiện ban đầu cho thấy sự chồng chéo tiềm tàng giữa RUBYCARP và một thực thể đe dọa khác có tên Outlaw. Outlaw có thành tích tham gia vào các cuộc tấn công khai thác tiền điện tử và vũ phu nhưng gần đây đã chuyển trọng tâm sang các chiến dịch lừa đảo và lừa đảo trực tuyến để mở rộng phạm vi mục tiêu của chúng.

RUBYCARP có thể đang mở rộng các phương thức tấn công của nó

Những email lừa đảo này thường lôi kéo người nhận tiết lộ thông tin thuộc sở hữu cá nhân, chẳng hạn như thông tin đăng nhập hoặc thông tin tài chính. Một khía cạnh đáng chú ý khác trong chiến thuật của RUBYCARP liên quan đến việc sử dụng phần mềm độc hại có tên ShellBot (còn được công nhận là PerlBot) để xâm nhập vào môi trường mục tiêu. Ngoài ra, người ta còn quan sát thấy chúng khai thác các lỗ hổng bảo mật trong Laravel Framework (ví dụ: CVE-2021-3129), một phương pháp cũng được các tác nhân đe dọa khác như AndroxGh0st sử dụng.

Trong một dấu hiệu cho thấy những kẻ tấn công đang mở rộng mảng kỹ thuật truy cập ban đầu của chúng để mở rộng quy mô của mạng botnet, các nhà nghiên cứu đã tiết lộ các trường hợp các trang web WordPress bị xâm phạm thông qua tên người dùng và mật khẩu thường được sử dụng.

Khi giành được quyền truy cập, một cửa hậu sẽ được cấy vào dựa trên mối đe dọa có tên Perl ShellBot. Sau đó, máy chủ của nạn nhân được liên kết với máy chủ IRC (Internet Relay Chat) hoạt động như Lệnh và Kiểm soát (C2), tích hợp vào mạng botnet lớn hơn.

Kích thước của botnet ước tính vượt qua 600 máy chủ, với máy chủ IRC ('chat.juicessh.pro') được thành lập vào ngày 1 tháng 5 năm 2023. Nó phụ thuộc rất nhiều vào IRC để liên lạc chung, cũng như điều phối các botnet và điều phối các hoạt động khai thác tiền điện tử.

Hơn nữa, các thành viên của nhóm đã được xác định đang liên lạc qua kênh Undernet IRC có tên #cristi. Ngoài ra, họ sử dụng công cụ quét hàng loạt để xác định các máy chủ mới tiềm năng.

Tội phạm mạng RUBYCARP khai thác nhiều luồng thu nhập lừa đảo

Sự xuất hiện của RUBYCARP trong bối cảnh mối đe dọa mạng không có gì đáng ngạc nhiên, do khả năng tận dụng mạng botnet của họ để truy cập vào nhiều nguồn thu nhập bất hợp pháp khác nhau, bao gồm các hoạt động khai thác tiền điện tử và lừa đảo nhằm mục đích thu thập số thẻ tín dụng.

Như các nhà nghiên cứu đã phát hiện ra, khai thác tiền điện tử đã là động lực chính của nhóm tội phạm mạng kể từ những ngày đầu thành lập. Trong khi nhóm đã phát triển các chiến thuật của mình, phân nhánh sang các hoạt động như tấn công lừa đảo và DDoS, thì việc khai thác tiền điện tử vẫn là mục tiêu theo đuổi nhất quán trong suốt lịch sử của nhóm.

Mặc dù có vẻ như dữ liệu thẻ tín dụng thu thập được chủ yếu được sử dụng để có được cơ sở hạ tầng tấn công, nhưng các phương tiện kiếm tiền khác, chẳng hạn như bán thông tin ngầm trong phạm vi tội phạm mạng, cũng có thể thực hiện được.

Hơn nữa, những kẻ đe dọa đang tham gia phát triển và bán vũ khí mạng, một hành vi tương đối hiếm gặp. Với kho công cụ khổng lồ được tích lũy qua nhiều năm, họ có được sự linh hoạt đáng kể trong việc thực hiện các hoạt động của mình.