Um grupo de ameaças de suspeita origem romena chamado RUBYCARP foi observado mantendo uma botnet de longa duração para realizar mineração de criptomoedas, ataques de negação de serviço distribuído (DDoS) e ataques de phishing.
O grupo, acredita-se estar ativo há pelo menos 10 anos, emprega a botnet para ganho financeiro, disse a Sysdig em um relatório compartilhado com o The Hacker News.
"Seu principal método de operação utiliza uma botnet implementada usando uma variedade de exploits públicos e ataques de brute-force", disse a firma de segurança em nuvem.
"Este grupo se comunica via redes IRC públicas e privadas."
As evidências coletadas até agora sugerem que RUBYCARP pode ter conexões com outro grupo de ameaça monitorado pela firma de cibersegurança albanesa Alphatechs sob o apelido Outlaw, que tem um histórico de conduzir mineração de criptomoedas e ataques de brute-force e desde então se voltou para campanhas de phishing e spear-phishing para abranger um espectro mais amplo.
"Esses e-mails de phishing frequentemente atraem vítimas para revelar informações sensíveis, como credenciais de acesso ou detalhes financeiros", disse o pesquisador de segurança Brenton Isufi em um relatório publicado no final de dezembro de 2023.
Um aspecto notável da tradecraft de RUBYCARP é o uso de um malware chamado ShellBot (também conhecido como PerlBot) para violar ambientes-alvo.
Foi também observado explorando falhas de segurança no Laravel Framework (e.g.,
CVE-2021-3129
), técnica também adotada por outros agentes de ameaça como AndroxGh0st.
Como um sinal de que os atacantes estão expandindo seu arsenal de métodos de acesso inicial para aumentar a escala da botnet, a Sysdig disse que descobriu sinais de sites WordPress sendo comprometidos usando nomes de usuário e senhas comumente utilizados.
"Uma vez obtido o acesso, é instalado um backdoor baseado no popular Perl ShellBot," disse a empresa.
"O servidor da vítima é então conectado a um servidor [Internet Relay Chat] atuando como comando e controle, e se junta à botnet maior."
Estima-se que a botnet seja composta por mais de 600 hosts, com o servidor IRC ("chat.juicessh[.]pro") criado em 1° de maio de 2023.
A rede depende fortemente de IRC para comunicações gerais, bem como para gerenciar suas botnets e coordenar campanhas de mineração de criptomoedas.
Além disso, membros do grupo – nomeados juice_, Eugen, Catalin, MUIE e Smecher, entre outros – foram encontrados se comunicando via um canal do Undernet IRC chamado #cristi.
Também é utilizado uma ferramenta de scanner em massa para encontrar novos hosts potenciais.
A chegada do RUBYCARP ao cenário de ameaças cibernéticas não é surpreendente, dada a sua capacidade de aproveitar a botnet para alimentar diversas correntes de renda ilícitas, como operações de mineração de criptomoedas e phishing para roubar números de cartão de crédito.
Embora pareça que os dados de cartão de crédito roubados sejam usados para comprar infraestrutura de ataque, também há a possibilidade de que as informações possam ser monetizadas de outras maneiras, vendendo-as no submundo do crime cibernético.
"Esses agentes de ameaças também estão envolvidos no desenvolvimento e venda de armas cibernéticas, o que não é muito comum," disse a Sysdig.
"Eles têm um grande arsenal de ferramentas que acumularam ao longo dos anos, o que lhes dá bastante flexibilidade ao conduzir suas operações."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...