Un grup de botnet din România numit ‘RUBYCARP’ exploatează vulnerabilități cunoscute și efectuează atacuri de forță brută pentru a sparge rețelele corporative și a compromite serverele în scop financiar.
Potrivit unui nou raport de la Sysdig, RUBYCARP operează în prezent un botnet gestionat prin canale IRC private, cuprinzând peste 600 de servere compromise.
Sysdig a descoperit 39 de variante ale payload-ului (shellbot) bazat pe Perl al botnet-ului RUBYCARP, dintre care doar opt apar pe VirusTotal, ilustrând rate scăzute de detecție pentru activitate.
‘Echipa de Cercetare a Amenințărilor Sysdig (Sysdig TRT) a descoperit recent un botnet de lungă durată operat de un grup de actori de amenințare români, pe care îl numim RUBYCARP,’ explică cercetătorii.
‘Există dovezi care sugerează că acest actor de amenințare a fost activ de cel puțin 10 ani.’
Cercetătorii au remarcat unele asocieri cu grupul de amenințare Outlaw APT, deși legătura este slabă și se bazează pe tactici comune folosite în botnet-uri.
Sysdig raportează că a detectat sondele RUBYCARP către honeypots-urile sale de câteva luni, vizând aplicațiile Laravel prin CVE-2021-3129, o vulnerabilitate de execuție de cod la distanță.
Mai recent, analiștii au observat că RUBYCARP efectuează forțarea brută a serverelor SSH și vizează site-urile WordPress folosind descărcări de acreditări.
Odată ce payload-ul shellbot este instalat pe un server compromis, se conectează la serverul de comandă și control (C2) bazat pe IRC și devine parte a botnet-ului.
Cercetătorii au descoperit trei grupuri distincte de botnet-uri, numite ‘Juice’, ‘Cartier’ și ‘Aridan’, care sunt probabil folosite în scopuri diferite.
Dacă clientul nu configurează corect conexiunea sa, este dat afară, iar IP-ul său este blocat într-un efort de a proteja infrastructura de analiștii de securitate care încearcă să facă sondaje neautorizate.
Sysdig mai notează că atacatorii își rotesc infrastructura frecvent pentru a evita detectarea și blocările, cu o listă a infrastructurii mapate găsită pe această pagină de GitHub
Dispozitivele nou infectate pot fi folosite pentru a lansa atacuri distribuite de denegare a serviciului (DDoS), phishing și fraudă financiară, și pentru a mina criptomonede.
RUBYCARP folosește NanoMiner, XMrig și un miner personalizat numit C2Bash pentru a mina criptomonede precum Monero, Ethereum și Ravencoin, folosind resursele de calcul ale victimei.
Grupul de amenințare folosește și phishing-ul pentru a fura informații financiare precum numerele de card de credit.
Aceștia reușesc acest lucru prin implementarea de șabloane de phishing pe serverele compromise sau trimiterea de e-mailuri de phishing de pe acestea, vizând persoanele sau organizațiile cu mesaje înșelătoare.
Șabloanele de phishing folosite în campania recentă indică o acoperire europeană, incluzând Banca Swiss, Banca Nets și Bring Logistics.
Deși RUBYCARP nu se numără printre cei mai mari operatori de botneturi, faptul că au reușit să opereze în mare parte neobservați timp de peste un deceniu arată un grad de furtișag și securitate operațională.
Pentru a-și asigura protecția infrastructurii de analiștii de securitate care încearcă să facă sondaje neautorizate, SYSDIG spune că sunt implicați și în dezvoltarea și vânzarea de ‘arme cibernetice,’ indicând un arsenal mare de instrumente la dispoziția lor.
Cisco avertizează cu privire la atacuri de pulverizare a parolelor care vizează serviciile VPN
Hackerii exploatează o vulnerabilitate a framework-ului Ray pentru a sparge serverele, a acapara resursele
Malware-ul TheMoon infectează 6.000 de routere ASUS în 72 de ore pentru servicii de proxy
Noul malware Latrodectus înlocuiește IcedID în încălcările de rețea
Visa avertizează cu privire la noua variantă de malware JSOutProx care vizează organizațiile financiare
Leave a Reply