Ботнет RUBYCARP приписывается румынскому злоумышленнику
Было замечено, что группа киберугроз, предположительно румынского происхождения, известная как RUBYCARP, управляет постоянным ботнетом для участия в различных незаконных действиях, включая майнинг криптовалют, распределенные атаки типа «отказ в обслуживании» (DDoS) и фишинговые схемы.
Эта группа, предположительно действующая уже не менее десяти лет, использует ботнет в первую очередь для финансовой выгоды, как сообщает Sysdig и сообщает The Hacker News. Их образ действий включает в себя развертывание ботнета с использованием ряда публичных эксплойтов и тактик грубой силы, а также общение через публичные и частные сети IRC.
Имеющиеся данные свидетельствуют о том, что RUBYCARP может пересекаться с другой угрозой, которую отслеживает албанская фирма по кибербезопасности Alphatechs, известная как Outlaw. Outlaw имеет опыт участия в майнинге криптовалют и атаках методом перебора, но в последнее время переключил внимание на фишинговые и целевые фишинговые кампании.
RUBYCARP фокусируется на фишинге как на первоначальном векторе атаки
По словам исследователя безопасности Брентона Исуфи, эти попытки фишинга направлены на то, чтобы обманом заставить жертв раскрыть конфиденциальную информацию, такую как учетные данные для входа или финансовые данные.
Одним из примечательных аспектов методов RUBYCARP является использование вредоносного ПО ShellBot (также известного как PerlBot) для проникновения в целевые среды. Они также используют уязвимости в Laravel Framework — тактику, которую используют и другие субъекты угроз, такие как AndroxGh0st.
Было замечено, что для расширения охвата своего ботнета RUBYCARP взламывает сайты WordPress, используя распространенные комбинации имени пользователя и пароля. После получения доступа они устанавливают бэкдор на основе популярного Perl ShellBot, подключая сервер жертвы к серверу интернет-релейного чата (IRC), выполняющему функции командования и контроля.
Ботнет, который, по оценкам, включает более 600 хостов, в значительной степени полагается на IRC для связи и координации кампаний по майнингу криптовалют. Кроме того, члены группы общаются через IRC-канал Undernet под названием #cristi и используют инструмент массового сканирования для выявления потенциальных новых хостов.
Появление RUBYCARP в сфере киберугроз подчеркивает их умение использовать ботнет для различных незаконных действий, включая майнинг криптовалют и фишинговые операции, направленные на кражу конфиденциальной информации, такой как номера кредитных карт.