RUBYCARP ボットネット

RUBYCARP として知られる脅威グループが、暗号通貨マイニング、分散型サービス拒否 (DDoS)、フィッシング攻撃を実行するための永続的なボットネットを運営していることが検出されました。研究者は、RUBYCARP はルーマニア起源であると考えています。

RUBYCARP は少なくとも 10 年間活動しており、ボットネットを主に金銭目的で利用しています。その手口には、さまざまな公開エクスプロイトやブルート フォース テクニックを使用してボットネットを展開することが含まれます。このグループは、パブリックおよびプライベートの両方の IRC ネットワークを介して通信します。

初期の調査結果では、RUBYCARP と Outlaw という別の脅威エンティティの間に重複の可能性があることが示唆されています。Outlaw は、暗号通貨マイニングやブルートフォース攻撃に関与した実績がありますが、最近は標的の範囲を広げるためにフィッシングやスピアフィッシング キャンペーンに重点を移しています。

RUBYCARPは攻撃方法を拡大している可能性がある

これらのフィッシングメールは、ログイン認証情報や財務情報などの個人情報を漏らすように受信者を誘導することがよくあります。RUBYCARP の戦術のもう 1 つの注目すべき側面は、 ShellBot (PerlBot としても知られています) と呼ばれるマルウェアを使用してターゲット環境に侵入することです。さらに、Laravel Framework 内のセキュリティ脆弱性 (例: CVE-2021-3129) を悪用する攻撃が確認されており、この手法はAndroxGh0stなどの他の脅威アクターも利用しています。

研究者らは、攻撃者がボットネットの規模を拡大するために初期アクセス手法の幅を広げていることを示す兆候として、一般的に使用されているユーザー名とパスワードを通じて WordPress サイトが侵害された事例を明らかにした。

侵入されると、Perl ShellBot と呼ばれる脅威に基づいてバックドアが埋め込まれます。その後、被害者のサーバーはコマンド アンド コントロール (C2) として機能する IRC (インターネット リレー チャット) サーバーにリンクされ、より大きなボットネットに統合されます。

ボットネットの規模は 600 ホストを超えると推定されており、IRC サーバー (「chat.juicessh.pro」) は 2023 年 5 月 1 日に開設されました。一般的な通信だけでなく、ボットネットの編成や暗号通貨マイニング操作の調整にも IRC に大きく依存しています。

さらに、このグループのメンバーは、#cristi という Undernet IRC チャネルを介して通信していることが確認されています。さらに、彼らは大量スキャナー ツールを使用して、潜在的な新しいホストを特定しています。

RUBYCARP サイバー犯罪者は多数の不正な収入源を悪用

RUBYCARP がサイバー脅威の世界で台頭してきたことは、彼らがボットネットを活用して、暗号通貨マイニングやクレジットカード番号の収集を目的としたフィッシング活動など、さまざまな違法な収入源にアクセスする能力を持っていることを考えると、さほど驚くことではありません。

研究者が明らかにしたように、暗号通貨マイニングはサイバー犯罪グループの初期からの主な動機でした。グループは戦術を進化させ、フィッシングや DDoS 攻撃などの活動に手を広げてきましたが、暗号通貨マイニングは歴史を通じて一貫して追求されてきました。

収集されたクレジットカードデータは主に攻撃インフラの取得に使用されているようですが、サイバー犯罪の地下組織内で情報を販売するなど、別の収益化手段も考えられます。

さらに、脅威アクターはサイバー兵器の開発と販売にも携わっていますが、これは比較的珍しいことです。彼らは長年にわたって蓄積してきた膨大なツールを駆使して、攻撃活動を実行する上で大きな柔軟性を持っています。