Было замечено, что группа угроз предположительно румынского происхождения под названием RUBYCARP поддерживает давно работающий ботнет для проведения криптодобычи, распределенных атак типа "отказ в обслуживании" (DDoS) и фишинговых атак.
Группа, которая, как считается, активна не менее 10 лет, использует ботнет для получения финансовой выгоды, говорится в отчете Sysdig, опубликованном в Hacker News.
"Ее основной метод работы использует ботнет, развернутый с использованием различных общедоступных эксплойтов и атак методом перебора", - сказала компания по облачной безопасности. "Эта группа общается через публичные и частные IRC-сети".
Собранные на данный момент данные свидетельствуют о том, что RUBYCARP, возможно, пересеклась с другим кластером угроз, отслеживаемым албанской фирмой по кибербезопасности Alphatechs под псевдонимом Outlaw, которая занимается майнингом криптовалют и атаками методом перебора и с тех пор перешла к фишинговым кампаниям с целью создания широкой сети.
"Эти фишинговые электронные письма часто заманивают жертв к раскрытию конфиденциальной информации, такой как учетные данные для входа или финансовые данные", - сказал исследователь безопасности Брентон Исуфи в отчете, опубликованном в конце декабря 2023 года.
Примечательным аспектом деятельности RUBYCARP является использование вредоносного ПО под названием ShellBot (он же PerlBot) для взлома целевых сред. Также было замечено использование недостатков безопасности в фреймворке Laravel (например, CVE-2021-3129), метод, также принятый другими участниками угроз, такими как AndroxGh0st.
В знак того, что злоумышленники расширяют свой арсенал методов начального доступа для расширения масштабов ботнета, Sysdig заявила, что обнаружила признаки взлома сайтов WordPress с использованием часто используемых имен пользователей и паролей.
"Как только доступ получен, устанавливается бэкдор на основе популярного Perl ShellBot", - сообщили в компании. "Затем сервер жертвы подключается к серверу [Internet Relay Chat], выполняющему функции командования и контроля, и присоединяется к более крупной ботнету".
По оценкам, ботнет насчитывает более 600 хостов, а IRC-сервер ("chat.juicessh[.]pro") создан 1 мая 2023 года. Она в значительной степени полагается на IRC для общих коммуникаций, а также для управления своими ботнетами и координации кампаний по добыче криптовалюты.
Кроме того, было обнаружено, что члены группы по имени juice_, Eugen, Catalin, MUIE и Smecher, среди прочих, общались через IRC–канал Undernet под названием #cristi. Также используется инструмент массового сканирования для поиска новых потенциальных хостов.
Появление RUBYCARP на сцене киберугроз неудивительно, учитывая их способность использовать ботнет для подпитки различных потоков незаконных доходов, таких как криптодобыча и фишинговые операции по краже номеров кредитных карт.
Хотя кажется, что украденные данные кредитной карты используются для приобретения инфраструктуры атаки, существует также вероятность того, что информация может быть монетизирована другими способами путем продажи ее подпольным киберпреступникам.
"Эти субъекты угроз также участвуют в разработке и продаже кибероружия, что не очень распространено", - сказал Сисдиг. "У них большой арсенал инструментов, которые они нарабатывали годами, что дает им довольно широкий диапазон гибкости при проведении своих операций.
