RUBYCARP 僵尸网络归因于罗马尼亚威胁行为者

一个疑似来自罗马尼亚的网络威胁组织，名为 RUBYCARP，据观察运营一个持久的僵尸网络，从事各种非法活动，包括加密挖掘、分布式拒绝服务 (DDoS) 攻击和网络钓鱼计划。

据 Sysdig 报道，该组织至少活跃了十年，主要利用僵尸网络谋取经济利益，并与 The Hacker News 分享了这一信息。他们的作案手法包括通过一系列公开漏洞和暴力攻击策略部署僵尸网络，并通过公共和私人 IRC 网络进行通信。

有证据表明，RUBYCARP 可能与阿尔巴尼亚网络安全公司 Alphatechs 追踪的另一个威胁实体 Outlaw 有重叠。Outlaw 曾参与加密货币挖矿和暴力攻击，但最近将重点转向网络钓鱼和鱼叉式网络钓鱼活动。

RUBYCARP 专注于将网络钓鱼作为初始攻击媒介

安全研究员 Brenton Isufi 表示，这些网络钓鱼行为旨在诱骗受害者泄露敏感信息，例如登录凭证或财务数据。

RUBYCARP 的方法中值得注意的一点是他们使用 ShellBot（也称为 PerlBot）恶意软件来渗透目标环境。他们还利用 Laravel 框架中的漏洞，这是与 AndroxGh0st 等其他威胁行为者共享的策略。

为了扩大僵尸网络的覆盖范围，RUBYCARP 被发现使用常见的用户名密码组合入侵 WordPress 网站。一旦获得访问权限，他们就会安装基于流行的 Perl ShellBot 的后门，将受害者的服务器连接到充当命令和控制的互联网中继聊天 (IRC) 服务器。

该僵尸网络估计包含 600 多台主机，严重依赖 IRC 进行通信和协调加密货币挖矿活动。此外，该组织成员通过名为 #cristi 的 Undernet IRC 频道进行通信，并使用批量扫描工具来识别潜在的新主机。

RUBYCARP 在网络威胁领域中的出现凸显了他们利用僵尸网络进行各种非法活动的能力，包括加密挖掘和旨在窃取信用卡号等敏感信息的网络钓鱼操作。