Rumänische Botnet-Operation der RUBYCARP-Gruppe aufgedeckt

Rumänische Botnet-Operation der RUBYCARP-Gruppe aufgedeckt

Beitrag teilen

Ein Threat Research Team hat eine ausgeklügelte und lang andauernde Botnet-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens RUBYCARP betrieben wird und vermutlich bereits seit mindestens zehn Jahren aktiv ist. Diese Entdeckung wirft ein Schlaglicht auf eine jahrzehntelange Kampagne, in der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden.

Die Aktivitäten von RUBYCARP zielen in erster Linie auf finanziellen Gewinn ab, wobei eine breite Palette von Tools und Techniken eingesetzt wird, um verwundbare Systeme anzugreifen, insbesondere solche, auf denen Laravel- und WordPress-Anwendungen laufen. Über einen Honeypot konnte Sysdig das Treiben der Hackergruppe ans Licht bringen. Über Monate hinweg griff RUBYCARP den vom Sysdig TRT geschalteten Honeypot an, indem Laravel-Anwendungen, die für CVE-2021-3129 anfällig sind, ins Visier genommen und ausgenutzt wurden. Dies führte zu Beweisen für SSH-Brute-Forcing als weitere Methode, mit der sich die Gruppe Zugang zu ihren Zielen verschaffte.

Zentrale Erkenntnisse über RUBYCARP

  • Zuordnung: Obwohl es schwierig ist, RUBYCARP eindeutig zuzuordnen, wird davon ausgegangen, dass es sich um eine finanziell motivierte rumänische Bedrohungsgruppe handelt, die möglicherweise Verbindungen zu APT Outlaw (Advanced Persistent Threat) hat. Gemeinsame Taktiken und Werkzeuge mehrerer Gruppen von Bedrohungsakteuren erschweren jedoch die Zuordnung.
  • Operation: Der Modus Operandi von RUBYCARP umfasst die Bereitstellung von Hintertüren unter Verwendung des Perl-Shellbots, die Einrichtung von Befehls- und Kontrollfunktionen über IRC-Server und die Erweiterung des Botnets über verschiedene Kanäle. Die Gruppe beweist ein hohes Maß an Raffinesse, indem sie ihre Angriffstechniken ständig weiterentwickelt und ihr Netzwerk versteckt, um einer Entdeckung zu entgehen.
  • Infrastruktur: Die Infrastruktur von RUBYCARP besteht aus einer beträchtlichen Anzahl bösartiger IPs und Domains, die regelmäßig ausgetauscht werden, um Ermittlungsbemühungen zu vereiteln. Die Gruppe nutzt private und öffentliche IRC-Netzwerke wie chat.juicessh.pro und sshd.run zur Kommunikation und Koordination.
  • Motivation: RUBYCARP konzentriert sich auf verschiedene illegale Einnahmequellen, darunter Kryptomining, DDoS-Attacken und Phishing. Die Gruppe verwendet selbst erstellte Mining-Pools und Tools zum Schürfen von Kryptowährungen wie Monero, Ethereum und Ravencoin. Darüber hinaus gibt es Hinweise auf eine Beteiligung an Phishing-Kampagnen, die auf finanzielle Vermögenswerte abzielen.

RUBYCARP ist eine rumänische Bedrohungsgruppe, die seit fast einem Jahrzehnt aktiv ist. Eine Zuordnung ist stets schwierig, aber es handelt sich höchstwahrscheinlich um eine Gruppe, die mit der ‘Outlaw APT’-Gruppe und anderen, die den Perl Shellbot verwenden, in Verbindung gebracht werden kann. Diese Bedrohungsakteure sind auch an der Entwicklung und dem Verkauf von Cyberwaffen beteiligt, was selten ist. Sie verfügen über ein großes Arsenal an Werkzeugen, das sie im Laufe der Jahre entwickelt haben und das ihnen eine gewisse Flexibilität bei der Durchführung ihrer Operationen verleiht.

Empfohlene Maßnahmen

  • Unternehmen sollten robuste Sicherheitsmaßnahmen ergreifen, einschließlich der rechtzeitigen Behebung von Schwachstellen und starker Authentifizierungsprotokolle, um das Risiko der Ausbeutungsversuche durch RUBYCARP zu mindern.
  • Verbesserte Überwachungs- und Erkennungsmechanismen sind von entscheidender Bedeutung, um Botnet-Aktivitäten zu identifizieren und zu neutralisieren, insbesondere solche, an denen Perl Shellbot und IRC-Kommunikationskanäle beteiligt sind.
  • Wachsamkeit gegenüber Phishing-Versuchen, die auf finanzielle Vermögenswerte abzielen, insbesondere solche, die sich als seriöse Institutionen ausgeben, ist von größter Bedeutung. Die Umsetzung von E-Mail-Sicherheitsmaßnahmen und Benutzerschulungsprogrammen kann dieses Risiko mindern.
Mehr bei Sysdig.com

 


Über Sysdig 

In der Cloud zählt jede Sekunde. Angriffe erfolgen mit Höchstgeschwindigkeit und Sicherheitsteams müssen das Unternehmen schützen, ohne es zu verlangsamen. Sysdig stoppt Cloud-Angriffe in Echtzeit durch die sofortige Erkennung von Risikoveränderungen mithilfe von Runtime Intelligence und der Open-Source-Software Falco. Sysdig korreliert Signale über Cloud-Workloads, Identitäten und Services hinweg, um versteckte Angriffspfade aufzudecken und echte Risiken zu priorisieren. Von der Prävention bis zur Abwehr hilft Sysdig Unternehmen, sich auf das Wesentliche zu konzentrieren: Innovation.


 

Passende Artikel zum Thema

Rumänische Botnet-Operation der RUBYCARP-Gruppe aufgedeckt

Ein Threat Research Team hat eine ausgeklügelte und lang andauernde Botnet-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens ➡ Weiterlesen

KI gestützte Cyber-Angriffe nehmen zu

Cyberangriffe sind ausgefeilter denn je und KI-gestützte Angriffe stellen das größte Risiko dar. Das ermittelt der Keeper Security Insight Report 2024. ➡ Weiterlesen

Chefetage: Wichtige Cybersicherheit bringt keine Vorteile im Wettbewerb

Wie eine Umfrage zeigt, sehen Chefetagen gute Cybersicherheitsinfrastrukturen zwar als äußerst wichtig für Geschäftsbeziehungen an, aber gleichzeitig kann die Mehrzahl ➡ Weiterlesen

Ranglisten der verbreitetsten Malware

Sicherheitsforscher haben eine neue Methode zur Verbreitung des Remote Access Trojaners (RAT) Remcos entdeckt, der in Deutschland auf Platz Eins ➡ Weiterlesen

Drohendes Chaos bei der Umsetzung von NIS-2

Analogie zu NIS-2: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft – genauer gesagt endete die 24-monatige ➡ Weiterlesen

XDR-Analyse: Wann und wo klopfen Angreifer meistens an?

Sicherheitsforscher von Barracuda haben die häufigsten Extended Detection and Response-(XDR)-Erkennungen des Jahres 2023 analysiert, basierend auf eigenen Daten, die von ➡ Weiterlesen

Analyse Cybersicherheit: Welche Struktur nutzt das Unternehmen?

Die Organisationsstruktur des Unternehmens hat weitreichende Auswirkungen auf dessen Cybersicherheit. Auf Basis einer Umfrage untersucht Sophos drei Organisationsszenarien und beurteilt deren ➡ Weiterlesen

Bedrohungen durch Insider entgegenwirken

IT-verantwortlich zu sein, ist derzeit nicht der leichteste Beruf. Wenn neben der stetigen Warnung vor externen Angriffen und dem Gebot ➡ Weiterlesen