RUBYCARP Botnet Αποδίδεται σε Ρουμάνο ηθοποιό απειλών
Μια ομάδα απειλών στον κυβερνοχώρο που υποπτεύεται ότι είναι ρουμανικής καταγωγής, γνωστή ως RUBYCARP, έχει παρατηρηθεί να λειτουργεί ένα επίμονο botnet για συμμετοχή σε διάφορες παράνομες δραστηριότητες, όπως εξόρυξη κρυπτονομισμάτων, επιθέσεις διανεμημένης άρνησης υπηρεσίας (DDoS) και συστήματα phishing.
Αυτή η ομάδα, που πιστεύεται ότι ήταν ενεργή για τουλάχιστον μια δεκαετία, χρησιμοποιεί το botnet κυρίως για οικονομικό όφελος, όπως αναφέρεται από το Sysdig και μοιράζεται με το The Hacker News. Ο τρόπος λειτουργίας τους περιλαμβάνει την ανάπτυξη ενός botnet μέσω μιας σειράς δημόσιων εκμεταλλεύσεων και τακτικών ωμής βίας και την επικοινωνία μέσω δημόσιων και ιδιωτικών δικτύων IRC.
Τα στοιχεία δείχνουν ότι το RUBYCARP ενδέχεται να επικαλύπτεται με μια άλλη οντότητα απειλής που παρακολουθείται από την αλβανική εταιρεία κυβερνοασφάλειας Alphatechs, η οποία προσδιορίζεται ως Outlaw. Το Outlaw έχει ιστορικό εμπλοκής σε εξόρυξη κρυπτονομισμάτων και επιθέσεις ωμής βίας, αλλά πρόσφατα έχει στρέψει την προσοχή του σε καμπάνιες phishing και spear-phishing.
Το RUBYCARP εστιάζει στο ηλεκτρονικό ψάρεμα ως φορέας αρχικής επίθεσης
Αυτές οι προσπάθειες phishing στοχεύουν να εξαπατήσουν τα θύματα να αποκαλύψουν ευαίσθητες πληροφορίες, όπως διαπιστευτήρια σύνδεσης ή οικονομικά δεδομένα, σύμφωνα με τον ερευνητή ασφαλείας Brenton Isufi.
Μια αξιοσημείωτη πτυχή των μεθόδων του RUBYCARP είναι η χρήση κακόβουλου λογισμικού ShellBot (γνωστό και ως PerlBot) για διείσδυση σε περιβάλλοντα στόχους. Εκμεταλλεύονται επίσης τρωτά σημεία στο Laravel Framework, μια τακτική που μοιράζεται με άλλους παράγοντες απειλών όπως το AndroxGh0st.
Για να διευρύνουν την εμβέλεια του botnet τους, το RUBYCARP έχει παρατηρηθεί να διακυβεύει ιστότοπους WordPress χρησιμοποιώντας κοινούς συνδυασμούς ονόματος χρήστη-κωδικού πρόσβασης. Μόλις αποκτήσουν πρόσβαση, εγκαθιστούν μια κερκόπορτα που βασίζεται στο δημοφιλές Perl ShellBot, συνδέοντας τον διακομιστή του θύματος με έναν διακομιστή Internet Relay Chat (IRC) που λειτουργεί ως εντολή-και-έλεγχος.
Το botnet, που εκτιμάται ότι περιλαμβάνει πάνω από 600 κεντρικούς υπολογιστές, βασίζεται σε μεγάλο βαθμό στο IRC για την επικοινωνία και τον συντονισμό των εκστρατειών εξόρυξης κρυπτονομισμάτων. Επιπλέον, τα μέλη της ομάδας επικοινωνούν μέσω ενός καναλιού Undernet IRC που ονομάζεται #cristi και χρησιμοποιούν ένα εργαλείο μαζικής σάρωσης για να εντοπίσουν πιθανούς νέους κεντρικούς υπολογιστές.
Η εμφάνιση της RUBYCARP στο τοπίο των απειλών στον κυβερνοχώρο υπογραμμίζει την ικανότητά τους να αξιοποιούν το botnet για διάφορες παράνομες δραστηριότητες, συμπεριλαμβανομένων των εργασιών εξόρυξης κρυπτογράφησης και phishing που στοχεύουν στην κλοπή ευαίσθητων πληροφοριών, όπως αριθμοί πιστωτικών καρτών.
