A RUBYCARP botnet a román fenyegetőzőnek tulajdonított
Egy feltehetően román származású kiberfenyegető csoportot, a RUBYCARP-t megfigyeltek, amely állandó botnetet üzemeltet különféle tiltott tevékenységekben, beleértve a kriptobányászatot, az elosztott szolgáltatásmegtagadási (DDoS) támadásokat és az adathalász sémákat.
Ez a csoport, amelyről úgy gondolják, hogy legalább egy évtizede aktív, elsősorban pénzügyi haszonszerzésre használja a botnetet, amint azt a Sysdig közölte, és megosztotta a The Hacker News-szal. Működési módjuk magában foglalja a botnet telepítését számos nyilvános kizsákmányolással és brute force taktikával, valamint nyilvános és magán IRC-hálózatokon keresztüli kommunikációt.
A bizonyítékok arra utalnak, hogy a RUBYCARP átfedésben lehet egy másik, az Alphatechs albán kiberbiztonsági cég által nyomon követett fenyegető egységgel, amelyet Outlawként azonosítottak. Az Outlaw már korábban is részt vett kriptobányászatban és brute force támadásokban, de a közelmúltban az adathalászat és az adathalász kampányok felé helyezte a hangsúlyt.
A RUBYCARP az adathalászatra, mint kezdeti támadásra összpontosít
Brenton Isufi biztonsági kutató szerint ezeknek az adathalász kísérleteknek az a célja, hogy rávegyék az áldozatokat érzékeny információk, például bejelentkezési adatok vagy pénzügyi adatok közzétételére.
A RUBYCARP módszereinek egyik figyelemre méltó aspektusa az, hogy ShellBot (más néven PerlBot) kártevőket használ a célkörnyezetekbe való beszivárgásra. Kiaknázzák a Laravel Framework sebezhetőségeit is, ezt a taktikát más fenyegetés szereplőivel is megosztják, mint például az AndroxGh0st.
Megfigyelték, hogy a RUBYCARP a botnet elérhetőségének bővítése érdekében kompromittálja a WordPress webhelyeket a gyakori felhasználónév-jelszó kombinációk használatával. A hozzáférés megszerzése után a népszerű Perl ShellBot-on alapuló hátsó ajtót telepítenek, amely összeköti az áldozat szerverét egy Internet Relay Chat (IRC) szerverrel, amely parancs- és vezérlőként működik.
A becslések szerint több mint 600 gazdagépet magában foglaló botnet nagymértékben támaszkodik az IRC-re a kommunikációban és a kriptobányászati kampányok koordinálásában. Ezenkívül a csoport tagjai a #cristi nevű Undernet IRC csatornán keresztül kommunikálnak, és egy tömeges szkenner eszközt használnak a potenciális új gazdagépek azonosítására.
A RUBYCARP megjelenése a kiberfenyegetettségi környezetben rámutat arra, hogy a botnetet különféle illegális tevékenységekhez használják fel, beleértve a titkosítási bányászatot és az adathalász műveleteket, amelyek célja érzékeny információk, például hitelkártyaszámok ellopása.