Le botnet RUBYCARP attribué à un acteur menaçant roumain
Un groupe de cybermenaces soupçonné d'être d'origine roumaine, connu sous le nom de RUBYCARP, a été observé exploitant un botnet persistant pour se livrer à diverses activités illicites, notamment le minage de cryptomonnaies, les attaques par déni de service distribué (DDoS) et les programmes de phishing.
Ce groupe, qui serait actif depuis au moins une décennie, utilise le botnet principalement à des fins financières, comme le rapporte Sysdig et le partage avec The Hacker News. Leur mode opératoire consiste à déployer un botnet via une gamme d'exploits publics et de tactiques de force brute et à communiquer via des réseaux IRC publics et privés.
Les preuves suggèrent que RUBYCARP pourrait chevaucher une autre entité menaçante suivie par la société albanaise de cybersécurité Alphatechs, identifiée comme Outlaw. Outlaw a l'habitude de s'engager dans des attaques de cryptominage et de force brute, mais s'est récemment concentré sur des campagnes de phishing et de spear phishing.
RUBYCARP se concentre sur le phishing comme vecteur d'attaque initial
Selon le chercheur en sécurité Brenton Isufi, ces tentatives de phishing visent à inciter les victimes à divulguer des informations sensibles telles que des identifiants de connexion ou des données financières.
Un aspect remarquable des méthodes de RUBYCARP est leur utilisation du malware ShellBot (également connu sous le nom de PerlBot) pour infiltrer les environnements cibles. Ils exploitent également les vulnérabilités du framework Laravel, une tactique partagée avec d’autres acteurs menaçants comme AndroxGh0st.
Pour étendre la portée de son botnet, RUBYCARP a été observé en train de compromettre des sites WordPress en utilisant des combinaisons nom d'utilisateur-mot de passe courantes. Une fois l'accès obtenu, ils installent une porte dérobée basée sur le populaire Perl ShellBot, connectant le serveur de la victime à un serveur Internet Relay Chat (IRC) agissant comme commande et contrôle.
Le botnet, estimé à plus de 600 hôtes, s'appuie fortement sur IRC pour la communication et la coordination des campagnes de minage de cryptomonnaies. De plus, les membres du groupe communiquent via un canal IRC Undernet nommé #cristi et utilisent un outil d'analyse de masse pour identifier de nouveaux hôtes potentiels.
L'émergence de RUBYCARP dans le paysage des cybermenaces souligne sa capacité à exploiter le botnet pour diverses activités illégales, notamment les opérations d'extraction de cryptomonnaies et de phishing visant à voler des informations sensibles telles que les numéros de cartes de crédit.