RUBYCARP ボットネットはルーマニアの脅威アクターによるものと判明

RUBYCARPとして知られるルーマニア起源と疑われるサイバー脅威グループが、暗号通貨マイニング、分散型サービス拒否（DDoS）攻撃、フィッシング詐欺など、さまざまな違法行為を行うための永続的なボットネットを運用していることが確認されています。

Sysdig が報告し、The Hacker News が共有したように、このグループは少なくとも 10 年間活動していたと考えられており、主に金銭目的でボットネットを利用しています。彼らの手口には、さまざまな公開エクスプロイトやブルートフォース戦術を通じてボットネットを展開し、パブリックとプライベートの両方の IRC ネットワークを介して通信することが含まれます。

証拠から、RUBYCARP は、アルバニアのサイバーセキュリティ企業 Alphatechs が追跡している別の脅威エンティティである Outlaw と重複している可能性があることが示唆されています。Outlaw は、暗号通貨のマイニングやブルートフォース攻撃に関与してきた経歴がありますが、最近はフィッシングやスピアフィッシング キャンペーンに重点を移しています。

RUBYCARP は最初の攻撃ベクトルとしてフィッシングに注目

セキュリティ研究者のブレントン・イスフィ氏によると、こうしたフィッシング詐欺は、被害者を騙してログイン認証情報や金融データなどの機密情報を漏らさせることを目的としている。

RUBYCARP の手法で注目すべき点の 1 つは、ターゲット環境に侵入するために ShellBot (別名 PerlBot) マルウェアを使用していることです。また、Laravel Framework の脆弱性も悪用します。これは、AndroxGh0st などの他の脅威アクターと共有されている手法です。

RUBYCARP はボットネットの範囲を拡大するために、一般的なユーザー名とパスワードの組み合わせを使用して WordPress サイトを侵害していることが確認されています。アクセスが成功すると、人気の Perl ShellBot に基づくバックドアをインストールし、被害者のサーバーをコマンド アンド コントロールとして機能するインターネット リレー チャット (IRC) サーバーに接続します。

600 台以上のホストが含まれると推定されるこのボットネットは、仮想通貨マイニング キャンペーンの通信と調整に IRC を大いに利用しています。さらに、グループのメンバーは #cristi という Undernet IRC チャネルを通じて通信し、潜在的な新しいホストを特定するために大量スキャナー ツールを使用しています。

RUBYCARP がサイバー脅威の世界で台頭してきたことは、暗号通貨のマイニングや、クレジットカード番号などの機密情報を盗むことを目的としたフィッシング活動など、さまざまな違法行為にボットネットを活用する彼らの巧妙さを強調しています。