RUBYCARP 殭屍網絡

已偵測到一個名為 RUBYCARP 的威脅組織正在運行一個持久的殭屍網絡，用於進行加密貨幣挖礦、分散式阻斷服務 (DDoS) 和網路釣魚攻擊。研究人員認為 RUBYCARP 起源於羅馬尼亞。

RUBYCARP 活躍了至少十年，主要利用其殭屍網路來獲取經濟利益。他們的作案手法包括透過各種公共漏洞和暴力技術來部署殭屍網路。該小組透過公共和私人 IRC 網路進行通訊。

初步調查結果顯示 RUBYCARP 和另一個名為 Outlaw 的威脅實體之間存在潛在重疊。 Outlaw 擁有從事加密貨幣挖礦和暴力攻擊的記錄，但最近將重點轉向網路釣魚和魚叉式網路釣魚活動，以擴大其目標範圍。

RUBYCARP 可能正在擴展其攻擊方式

這些網路釣魚電子郵件經常誘使收件者洩露私人訊息，例如登入憑證或財務詳細資訊。 RUBYCARP 策略的另一個值得注意的方面涉及使用名為ShellBot （也稱為 PerlBot）的惡意軟體來滲透目標環境。此外，也觀察到他們利用 Laravel 框架內的安全漏洞（例如 CVE-2021-3129），這種方法也被其他威脅參與者（如AndroxGh0st ）所利用。

研究人員揭露了 WordPress 網站透過常用使用者名稱和密碼遭到入侵的實例，這表明攻擊者擴大了一系列初始存取技術以擴大殭屍網路的規模。

進入後，會植入基於 Perl ShellBot 威脅的後門。隨後，受害者的伺服器連結到充當命令與控制 (C2) 功能的 IRC（網際網路中繼聊天）伺服器，整合到更大的殭屍網路中。

該殭屍網路的規模估計超過600 台主機，IRC 伺服器（「chat.juicessh.pro」）於2023 年5 月1 日建立。 。

此外，該組織的成員已被確定透過名為#cristi 的 Undernet IRC 頻道進行通訊。此外，他們還利用大規模掃描器工具來識別潛在的新主機。

RUBYCARP 網路犯罪分子利用大量詐欺性收入流

RUBYCARP 在網路威脅領域的出現並不令人意外，因為他們有能力利用殭屍網路來獲取各種非法收入流，包括旨在獲取信用卡號碼的加密貨幣挖礦和網路釣魚操作。

研究人員發現，加密貨幣挖礦自成立以來一直是網路犯罪集團的主要動機。儘管該組織不斷發展策略，涉足網路釣魚和 DDoS 攻擊等活動，但在其整個歷史中，加密貨幣挖礦仍然是其一貫的追求。

儘管收集的信用卡資料似乎主要用於獲取攻擊基礎設施，但其他貨幣化方式也是可能的，例如在地下網路犯罪中出售資訊。

此外，威脅行為者也參與開發和銷售網路武器，這是相對不常見的做法。憑藉多年來累積的大量工具，他們在執行操作時擁有極大的靈活性。