据观察,一个疑似源自罗马尼亚的威胁组织RUBYCARP维护着一个长期运行的僵尸网络,用于进行加密货币挖矿、分布式拒绝服务 (DDoS) 和网络钓鱼攻击。
Sysdig 在与《黑客新闻》分享的一份报告中表示,该组织据信活跃了至少 10 年,利用僵尸网络获取经济利益。
这家云安全公司表示:“其主要操作方法是利用利用各种公共漏洞和暴力攻击部署的僵尸网络。” “该小组通过公共和私人 IRC 网络进行通信。”
迄今为止收集的证据表明,RUBYCARP 可能与阿尔巴尼亚网络安全公司 Alphatechs 追踪的另一个名为 Outlaw 的威胁集群存在交叉,该公司有进行加密货币挖矿和暴力攻击的历史,此后转向网络钓鱼和鱼叉式网络钓鱼活动,广撒网。
安全研究员 Brenton Isufi在 2023 年 12 月下旬发布的一份报告中表示: “这些网络钓鱼电子邮件经常引诱受害者泄露敏感信息,例如登录凭据或财务详细信息。”
RUBYCARP 交易技术的一个值得注意的方面是使用名为ShellBot(又名 PerlBot)的恶意软件来破坏目标环境。人们还观察到它利用了 Laravel 框架中的安全漏洞(例如 CVE-2021-3129),这种技术也被其他威胁行为者(如AndroxGh0st )所采用。
Sysdig 表示,它发现了 WordPress 网站使用常用用户名和密码遭到入侵的迹象,这表明攻击者正在扩大其初始访问方法库,以扩大僵尸网络的规模。
该公司表示:“一旦获得访问权限,就会安装基于流行的 Perl ShellBot 的后门。” “受害者的服务器随后连接到充当命令和控制角色的[互联网中继聊天]服务器,并加入更大的僵尸网络。”
该僵尸网络估计由 600 多个主机组成,IRC 服务器(“chat.juicessh[.]pro”)创建于 2023 年 5 月 1 日。它严重依赖 IRC 进行一般通信以及管理其僵尸网络和协调加密货币采矿活动。
此外,该组织的成员(名为 Juice_、Eugen、Catalin、MUIE 和 Smecher 等)被发现通过名为#cristi的 Undernet IRC 频道进行通信。还使用了大规模扫描仪工具来寻找新的潜在主机。
RUBYCARP 出现在网络威胁领域并不令人意外,因为他们有能力利用僵尸网络来推动各种非法收入流,例如加密货币挖矿和网络钓鱼操作以窃取信用卡号码。
虽然被盗的信用卡数据似乎被用来购买攻击基础设施,但这些信息也有可能通过其他方式通过在地下网络犯罪中出售来货币化。
西斯迪格说:“这些威胁行为者还参与网络武器的开发和销售,这并不常见。” “他们拥有多年来积累的大量工具,这为他们在开展业务时提供了相当大的灵活性。
发表评论
您还未登录,请先登录。
登录