RUBYCARP Botnet tilskrevet rumensk trusselskuespiller
En cybertrusselgruppe som mistenkes å være av rumensk opprinnelse, kjent som RUBYCARP, har blitt observert som driver et vedvarende botnett for å engasjere seg i ulike ulovlige aktiviteter, inkludert kryptomining, distribuert denial-of-service (DDoS)-angrep og phishing-opplegg.
Denne gruppen, som antas å ha vært aktiv i minst et tiår, bruker botnettet først og fremst for økonomisk gevinst, som rapportert av Sysdig og delt med The Hacker News. Deres modus operandi innebærer å distribuere et botnett gjennom en rekke offentlige utnyttelser og brute-force-taktikker og kommunisere gjennom både offentlige og private IRC-nettverk.
Bevis tyder på at RUBYCARP kan overlappe med en annen trusselenhet sporet av det albanske cybersikkerhetsfirmaet Alphatechs, identifisert som Outlaw. Outlaw har en historie med å engasjere seg i kryptogruvedrift og brute-force-angrep, men har nylig skiftet fokus mot phishing- og spyd-phishing-kampanjer.
RUBYCARP fokuserer på phishing som initial angrepsvektor
Disse phishing-tiltakene tar sikte på å lure ofre til å avsløre sensitiv informasjon som påloggingsinformasjon eller økonomiske data, ifølge sikkerhetsforsker Brenton Isufi.
Et bemerkelsesverdig aspekt ved RUBYCARPs metoder er deres bruk av ShellBot (også kjent som PerlBot) malware for å infiltrere målmiljøer. De utnytter også sårbarheter i Laravel Framework, en taktikk som deles med andre trusselaktører som AndroxGh0st.
For å utvide botnettets rekkevidde, har RUBYCARP blitt observert å kompromittere WordPress-nettsteder ved å bruke vanlige brukernavn-passord-kombinasjoner. Når tilgang er oppnådd, installerer de en bakdør basert på den populære Perl ShellBot, som kobler offerets server til en Internet Relay Chat-server (IRC) som fungerer som kommando-og-kontroll.
Botnettet, anslått til å omfatte over 600 verter, er sterkt avhengig av IRC for kommunikasjon og koordinering av kryptogruvekampanjer. I tillegg kommuniserer medlemmer av gruppen gjennom en Undernet IRC-kanal kalt #cristi og bruker et masseskannerverktøy for å identifisere potensielle nye verter.
RUBYCARPs fremvekst i cybertrussellandskapet understreker deres dyktighet i å utnytte botnettet for ulike ulovlige aktiviteter, inkludert kryptomining og phishing-operasjoner rettet mot å stjele sensitiv informasjon som kredittkortnumre.