Hakerska grupa vjerovatno rumunskog porijekla pod nazivom RUBYCARP je primijećena kako održava dugotrajni botnet za izvođenje kripto rudarenja, distribuisanog uskraćivanja usluge (DDoS) i phishing napada.
Grupa, za koju se vjeruje da je aktivna najmanje 10 godina, koristi botnet za finansijsku dobit, rekao je Sysdig u izvještaju podijeljenom za The Hacker News.
“Njihov primarni metod rada koristi botnet koji se postavlja korištenjem raznih javnih eksploatacija i brute-force napada”, rekla je firma za sigurnost u oblaku. “Ova grupa komunicira putem javnih i privatnih IRC mreža.”
Do sada prikupljeni dokazi upućuju na to da RUBYCARP možda ima ukrštanje s još jednim klasterom prijetnji kojeg prati albanska firma za kibernetičku sigurnost Alphatechs pod imenom Outlaw, koja ima istoriju provođenja kripto rudarenja i napada grubom silom i od tada se okrenula ka phishing i spear-phishing kampanjama kako bi zabacila širu mrežu.
“Ove phishing poruke e-pošte često mame žrtve da otkriju osjetljive informacije, kao što su kredencijali za prijavu ili finansijski detalji”, rekao je istraživač sigurnosti Brenton Isufi u izvještaju objavljenom krajem decembra 2023.
Značajan aspekt rada RUBYCARP-a je upotreba malvera pod nazivom ShellBot (aka PerlBot) za probijanje ciljnog okruženja. Takođe je primijećeno iskorišćavanje bezbjednosnih propusta u Laravel okviru (npr. CVE-2021-3129), tehnika koju su takođe usvojili drugi hakeri kao što je AndroxGh0st.
Kao znak da napadači proširuju svoj arsenal inicijalnih metoda pristupa kako bi proširili skalu botneta, Sysdig je rekao da je otkrio znakove kompromitovanja WordPress stranica korištenjem često korištenih korisničkih imena i lozinki.
“Kada se dobije pristup, instalira se backdoor baziran na popularnom Perl ShellBotu”, kažu iz kompanije. “Server žrtve je tada povezan sa [Internet Relay Chat] serverom koji djeluje kao komanda i kontrola i pridružuje se većem botnetu.”
Procjenjuje se da se botnet sastoji od preko 600 hostova, a IRC server (“chat.juicessh[.]pro”) kreiran je 1. maja 2023. On se u velikoj mjeri oslanja na IRC za opštu komunikaciju, kao i za upravljanje svojim bontet mrežama i koordinaciju kampanje kripto rudarenja.
Štaviše, otkriveno je da članovi grupe – po imenu juice_, Eugen, Catalin, MUIE i Smecher, između ostalih – komuniciraju putem Undernet IRC kanala pod nazivom #cristi. Takođe se koristi alat za masovni skener za pronalaženje novih potencijalnih domaćina.
Dolazak RUBYCARP-a na scenu sajber prijetnji nije iznenađujući s obzirom na njihovu sposobnost da iskoriste prednosti botneta kako bi podstakli različite nezakonite tokove prihoda kao što su kripto rudarenje i phishing operacije za krađu brojeva kreditnih kartica.
Iako se čini da se ukradeni podaci kreditne kartice koriste za kupovinu infrastrukture za napade, postoji i mogućnost da se informacije mogu unovčiti na druge načine prodajom u podzemlju sajber kriminala.
“Ovi hakeri takođe su uključeni u razvoj i prodaju sajber oružja, što nije baš uobičajeno”, rekao je Sysdig. “Oni imaju veliki arsenal alata koje su izgradili tokom godina, što im daje priličan raspon fleksibilnosti prilikom obavljanja svojih operacija.”
Izvor: The Hacker News
