RUBYCARP 僵尸网络

一个名为 RUBYCARP 的威胁组织被发现运营一个持久僵尸网络，用于进行加密货币挖掘、分布式拒绝服务 (DDoS) 和网络钓鱼攻击。研究人员认为 RUBYCARP 起源于罗马尼亚。

RUBYCARP 至少活跃了十年，其僵尸网络主要是为了获取经济利益。他们的作案手法包括通过各种公开漏洞和暴力破解技术部署僵尸网络。该组织通过公共和私人 IRC 网络进行通信。

初步调查结果表明，RUBYCARP 与另一个名为 Outlaw 的威胁实体之间存在潜在重叠。Outlaw 曾参与过加密货币挖矿和暴力攻击，但最近将重点转向网络钓鱼和鱼叉式网络钓鱼活动，以扩大其目标范围。

RUBYCARP 可能正在扩展其攻击方法

这些钓鱼电子邮件经常诱使收件人泄露私人信息，例如登录凭据或财务详细信息。RUBYCARP 策略的另一个值得注意的方面是使用一种名为ShellBot （也称为 PerlBot）的恶意软件来渗透目标环境。此外，据观察，他们利用了 Laravel 框架中的安全漏洞（例如 CVE-2021-3129），其他威胁行为者（如AndroxGh0st ）也使用了这种方法。

研究人员披露了通过常用用户名和密码攻击 WordPress 网站的案例，表明攻击者正在拓宽其初始访问技术以扩大僵尸网络的规模。

一旦进入，就会植入一个基于 Perl ShellBot 威胁的后门。随后，受害者的服务器会连接到充当命令和控制 (C2) 的 IRC（互联网中继聊天）服务器，并融入更大的僵尸网络。

该僵尸网络的规模估计超过 600 台主机，IRC 服务器（“chat.juicessh.pro”）于 2023 年 5 月 1 日建立。它严重依赖 IRC 进行一般通信，以及编排僵尸网络和协调加密挖掘操作。

此外，该组织成员已确定通过名为 #cristi 的 Undernet IRC 频道进行交流。此外，他们还利用批量扫描工具来识别潜在的新主机。

RUBYCARP 网络犯罪分子利用大量欺诈性收入来源

RUBYCARP 在网络威胁领域中的出现并不令人意外，因为他们能够利用其僵尸网络访问各种非法收入来源，包括旨在获取信用卡号的加密挖掘和网络钓鱼操作。

研究人员发现，自成立之初，加密货币挖矿一直是该网络犯罪团伙的主要动机。尽管该团伙的策略已不断演变，涉足网络钓鱼和 DDoS 攻击等活动，但加密货币挖矿始终是其一贯追求。

虽然收集的信用卡数据似乎主要用于获取攻击基础设施，但其他货币化手段也是可行的，比如在网络犯罪地下活动中出售信息。

此外，威胁行为者还参与开发和销售网络武器，这是一种相对不常见的做法。凭借多年积累的大量工具，他们在执行行动时拥有相当大的灵活性。