Een dreigingsgroep van vermoedelijk Roemeense afkomst belde RUBYCARP Er is waargenomen dat het een langlopend botnet onderhoudt voor het uitvoeren van cryptomining, gedistribueerde denial-of-service (DDoS) en phishing-aanvallen.
De groep, die vermoedelijk al minstens tien jaar actief is, gebruikt het botnet voor financieel gewin, zei Sysdig in een rapport gedeeld met The Hacker News.
“De primaire werkwijze maakt gebruik van een botnet dat wordt ingezet met behulp van een verscheidenheid aan openbare exploits en brute-force-aanvallen”, aldus het cloudbeveiligingsbedrijf. “Deze groep communiceert via publieke en private IRC-netwerken.”
Het tot nu toe verzamelde bewijs suggereert dat RUBYCARP mogelijk een kruising heeft met een ander dreigingscluster dat wordt gevolgd door het Albanese cyberbeveiligingsbedrijf Alphatechs onder de naam Outlaw, dat een geschiedenis heeft in het uitvoeren van cryptomining en brute-force-aanvallen en zich sindsdien heeft gericht op phishing- en spear-phishing-campagnes om werpt een breed net uit.
“Deze phishing-e-mails verleiden slachtoffers vaak tot het onthullen van gevoelige informatie, zoals inloggegevens of financiële gegevens”, zei beveiligingsonderzoeker Brenton Isufi in een rapport dat eind december 2023 werd gepubliceerd.
Een opmerkelijk aspect van het vakmanschap van RUBYCARP is het gebruik van malware genaamd ShellBot (ook bekend als PerlBot) om doelomgevingen te doorbreken. Er is ook waargenomen dat er misbruik wordt gemaakt van beveiligingsfouten in het Laravel Framework (bijvoorbeeld CVE-2021-3129), een techniek die ook wordt overgenomen door andere bedreigingsactoren zoals AndroxGh0st.
Als teken dat de aanvallers hun arsenaal aan initiële toegangsmethoden uitbreiden om de schaal van het botnet uit te breiden, zei Sysdig dat het tekenen ontdekte dat WordPress-sites werden gecompromitteerd met behulp van veelgebruikte gebruikersnamen en wachtwoorden.
“Zodra toegang is verkregen, wordt er een achterdeur geïnstalleerd op basis van de populaire Perl ShellBot”, aldus het bedrijf. “De server van het slachtoffer wordt vervolgens verbonden met een [Internet Relay Chat] server die fungeert als command-and-control en zich aansluit bij het grotere botnet.”
Het botnet bestaat naar schatting uit meer dan 600 hosts, met de IRC-server (“chat.juicessh[.]pro”) opgericht op 1 mei 2023. Het is sterk afhankelijk van IRC voor algemene communicatie, maar ook voor het beheer van zijn botnets en het coördineren van cryptomining-campagnes.
Bovendien blijken leden van de groep – onder meer juice_, Eugen, Catalin, MUIE en Smecher – te communiceren via een Undernet IRC-kanaal genaamd #cristi. Er wordt ook gebruik gemaakt van een massascanner om nieuwe potentiële hosts te vinden.
De komst van RUBYCARP op het gebied van cyberdreigingen is niet verrassend gezien hun vermogen om te profiteren van het botnet om diverse illegale inkomstenstromen aan te wakkeren, zoals cryptomining en phishing-operaties om creditcardnummers te stelen.
Hoewel het erop lijkt dat de gestolen creditcardgegevens worden gebruikt om aanvalsinfrastructuur aan te schaffen, bestaat er ook de mogelijkheid dat er op andere manieren geld kan worden verdiend met de informatie door deze te verkopen in de cybercriminaliteit.
“Deze dreigingsactoren zijn ook betrokken bij de ontwikkeling en verkoop van cyberwapens, wat niet zo gebruikelijk is”, aldus Sysdig. “Ze beschikken over een groot arsenaal aan instrumenten dat ze in de loop der jaren hebben opgebouwd, waardoor ze een behoorlijke flexibiliteit hebben bij het uitvoeren van hun activiteiten.
