Botnet RUBYCARP przypisywany rumuńskiemu podmiotowi stwarzającemu zagrożenie

Zaobserwowano, że grupa cyberprzestępcza podejrzana o pochodzenie rumuńskie, znana jako RUBYCARP, prowadzi trwały botnet i angażuje się w różne nielegalne działania, w tym wydobywanie kryptowalut, rozproszone ataki typu „odmowa usługi” (DDoS) i programy phishingowe.

Jak poinformował Sysdig i udostępnił The Hacker News, grupa ta, prawdopodobnie działająca od co najmniej dziesięciu lat, wykorzystuje botnet przede wszystkim w celu osiągnięcia korzyści finansowych. Ich sposób działania obejmuje wdrażanie botnetu przy użyciu szeregu publicznych exploitów i taktyk brutalnej siły oraz komunikację za pośrednictwem publicznych i prywatnych sieci IRC.

Dowody sugerują, że RUBYCARP może pokrywać się z innym zagrożeniem śledzonym przez albańską firmę Alphatechs zajmującą się bezpieczeństwem cybernetycznym, zidentyfikowanym jako Outlaw. Outlaw od dawna zajmuje się wydobywaniem kryptowalut i atakami typu brute-force, ale ostatnio skupił się na kampaniach phishingowych i spear-phishingowych.

RUBYCARP koncentruje się na phishingu jako wektorze ataku początkowego

Według badacza bezpieczeństwa Brenton Isufi te próby phishingu mają na celu nakłonienie ofiar do ujawnienia poufnych informacji, takich jak dane logowania lub dane finansowe.

Godnym uwagi aspektem metod RUBYCARP jest wykorzystanie szkodliwego oprogramowania ShellBot (znanego również jako PerlBot) do infiltrowania środowisk docelowych. Wykorzystują także luki w zabezpieczeniach Laravel Framework, co jest taktyką stosowaną przez inne podmioty zagrażające, takie jak AndroxGh0st.

Aby zwiększyć zasięg swojego botnetu, zaobserwowano, że RUBYCARP narusza witryny WordPress przy użyciu popularnych kombinacji nazwy użytkownika i hasła. Po uzyskaniu dostępu instalują backdoora opartego na popularnym Perlu ShellBot, łączącym serwer ofiary z serwerem Internet Relay Chat (IRC), pełniącym funkcję dowodzenia i kontroli.

Botnet, którego liczebność szacuje się na ponad 600 hostów, w dużym stopniu opiera się na IRC w zakresie komunikacji i koordynacji kampanii wydobywania kryptowalut. Ponadto członkowie grupy komunikują się za pośrednictwem podziemnego kanału IRC o nazwie #cristi i korzystają z narzędzia masowego skanera w celu identyfikacji potencjalnych nowych hostów.

Pojawienie się RUBYCARP w krajobrazie cyberzagrożeń podkreśla ich biegłość w wykorzystywaniu botnetu do różnych nielegalnych działań, w tym wydobywania kryptowalut i operacji phishingowych mających na celu kradzież poufnych informacji, takich jak numery kart kredytowych.