RUBYCARP-Botnetz

Eine Bedrohungsgruppe namens RUBYCARP wurde entdeckt, die ein persistentes Botnetz für Krypto-Mining, Distributed-Denial-of-Service-Angriffe (DDoS) und Phishing-Angriffe betreibt. Forscher glauben, dass RUBYCARP rumänischen Ursprungs ist.

RUBYCARP ist seit mindestens einem Jahrzehnt aktiv und nutzt sein Botnetz hauptsächlich für finanzielle Zwecke. Ihre Vorgehensweise besteht darin, ein Botnetz über verschiedene öffentliche Exploits und Brute-Force-Techniken bereitzustellen. Die Gruppe kommuniziert sowohl über öffentliche als auch über private IRC-Netzwerke.

Erste Ergebnisse deuten auf eine mögliche Überschneidung zwischen RUBYCARP und einer anderen Bedrohungseinheit namens Outlaw hin. Outlaw ist bereits seit längerem an Krypto-Mining und Brute-Force-Angriffen beteiligt, hat seinen Fokus jedoch kürzlich auf Phishing- und Spear-Phishing-Kampagnen verlagert, um seinen Zielbereich zu erweitern.

RUBYCARP erweitert möglicherweise seine Angriffsmethoden

Diese Phishing-E-Mails verleiten die Empfänger häufig dazu, private Informationen wie Anmeldeinformationen oder Finanzdaten preiszugeben. Ein weiterer bemerkenswerter Aspekt der Taktik von RUBYCARP besteht darin, eine Malware namens ShellBot (auch bekannt als PerlBot) einzusetzen, um Zielumgebungen zu infiltrieren. Darüber hinaus wurde beobachtet, dass sie Sicherheitslücken im Laravel Framework ausnutzten (z. B. CVE-2021-3129), eine Methode, die auch von anderen Bedrohungsakteuren wie AndroxGh0st verwendet wird.

Als Hinweis darauf, dass die Angreifer ihre Palette an Erstzugriffstechniken erweitern, um das Botnetz zu vergrößern, haben Forscher Fälle offengelegt, in denen WordPress-Sites über häufig verwendete Benutzernamen und Passwörter kompromittiert wurden.

Beim Eindringen wird eine Hintertür implantiert, die auf einer Bedrohung namens Perl ShellBot basiert. Anschließend wird der Server des Opfers mit einem IRC-Server (Internet Relay Chat) verbunden, der als Command-and-Control (C2) fungiert und in das größere Botnetz integriert wird.

Die Größe des Botnetzes wird auf über 600 Hosts geschätzt; der IRC-Server („chat.juicessh.pro“) wurde am 1. Mai 2023 eingerichtet. Es verlässt sich in hohem Maße auf IRC für die allgemeine Kommunikation sowie für die Orchestrierung von Botnetzen und die Koordinierung von Kryptomining-Vorgängen.

Darüber hinaus wurden Mitglieder der Gruppe dabei gesichtet, wie sie über einen Undernet-IRC-Kanal namens #cristi kommunizieren. Darüber hinaus nutzen sie ein Massenscanner-Tool, um potenzielle neue Hosts zu identifizieren.

RUBYCARP-Cyberkriminelle nutzen zahlreiche betrügerische Einnahmequellen

Das Auftauchen von RUBYCARP in der Cyber-Bedrohungslandschaft überrascht kaum angesichts der Tatsache, dass die Schadsoftware über ihr Botnetz auf verschiedene illegale Einnahmequellen zugreifen kann, darunter Kryptomining und Phishing-Operationen, die auf die Erfassung von Kreditkartennummern abzielen.

Wie Forscher herausgefunden haben, war Kryptomining seit den Anfängen der Cybercrime-Gruppe das Hauptmotiv. Während die Gruppe ihre Taktiken weiterentwickelte und sich auf Aktivitäten wie Phishing und DDoS-Angriffe spezialisierte, blieb Kryptomining im Laufe ihrer Geschichte ein beständiges Unterfangen.

Obwohl es den Anschein hat, dass die gesammelten Kreditkartendaten in erster Linie zum Aufbau einer Angriffsinfrastruktur verwendet werden, sind auch alternative Wege zur Monetarisierung möglich, etwa der Verkauf der Informationen in der Cybercrime-Welt.

Darüber hinaus sind die Bedrohungsakteure mit der Entwicklung und dem Verkauf von Cyberwaffen beschäftigt, was relativ ungewöhnlich ist. Mit einem riesigen Arsenal an Werkzeugen, das sie im Laufe der Jahre angesammelt haben, verfügen sie über erhebliche Flexibilität bei der Durchführung ihrer Operationen.