Rumänische Botnet-Operation der RUBYCARP-Gruppe aufgedeckt

Rumänische Botnet-Operation der RUBYCARP-Gruppe aufgedeckt

Beitrag teilen

Ein Threat Research Team hat eine ausgeklügelte und lang andauernde Botnet-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens RUBYCARP betrieben wird und vermutlich bereits seit mindestens zehn Jahren aktiv ist. Diese Entdeckung wirft ein Schlaglicht auf eine jahrzehntelange Kampagne, in der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden.

Die Aktivitäten von RUBYCARP zielen in erster Linie auf finanziellen Gewinn ab, wobei eine breite Palette von Tools und Techniken eingesetzt wird, um verwundbare Systeme anzugreifen, insbesondere solche, auf denen Laravel- und WordPress-Anwendungen laufen. Über einen Honeypot konnte Sysdig das Treiben der Hackergruppe ans Licht bringen. Über Monate hinweg griff RUBYCARP den vom Sysdig TRT geschalteten Honeypot an, indem Laravel-Anwendungen, die für CVE-2021-3129 anfällig sind, ins Visier genommen und ausgenutzt wurden. Dies führte zu Beweisen für SSH-Brute-Forcing als weitere Methode, mit der sich die Gruppe Zugang zu ihren Zielen verschaffte.

Anzeige

Zentrale Erkenntnisse über RUBYCARP

  • Zuordnung: Obwohl es schwierig ist, RUBYCARP eindeutig zuzuordnen, wird davon ausgegangen, dass es sich um eine finanziell motivierte rumänische Bedrohungsgruppe handelt, die möglicherweise Verbindungen zu APT Outlaw (Advanced Persistent Threat) hat. Gemeinsame Taktiken und Werkzeuge mehrerer Gruppen von Bedrohungsakteuren erschweren jedoch die Zuordnung.
  • Operation: Der Modus Operandi von RUBYCARP umfasst die Bereitstellung von Hintertüren unter Verwendung des Perl-Shellbots, die Einrichtung von Befehls- und Kontrollfunktionen über IRC-Server und die Erweiterung des Botnets über verschiedene Kanäle. Die Gruppe beweist ein hohes Maß an Raffinesse, indem sie ihre Angriffstechniken ständig weiterentwickelt und ihr Netzwerk versteckt, um einer Entdeckung zu entgehen.
  • Infrastruktur: Die Infrastruktur von RUBYCARP besteht aus einer beträchtlichen Anzahl bösartiger IPs und Domains, die regelmäßig ausgetauscht werden, um Ermittlungsbemühungen zu vereiteln. Die Gruppe nutzt private und öffentliche IRC-Netzwerke wie chat.juicessh.pro und sshd.run zur Kommunikation und Koordination.
  • Motivation: RUBYCARP konzentriert sich auf verschiedene illegale Einnahmequellen, darunter Kryptomining, DDoS-Attacken und Phishing. Die Gruppe verwendet selbst erstellte Mining-Pools und Tools zum Schürfen von Kryptowährungen wie Monero, Ethereum und Ravencoin. Darüber hinaus gibt es Hinweise auf eine Beteiligung an Phishing-Kampagnen, die auf finanzielle Vermögenswerte abzielen.

RUBYCARP ist eine rumänische Bedrohungsgruppe, die seit fast einem Jahrzehnt aktiv ist. Eine Zuordnung ist stets schwierig, aber es handelt sich höchstwahrscheinlich um eine Gruppe, die mit der ‚Outlaw APT‘-Gruppe und anderen, die den Perl Shellbot verwenden, in Verbindung gebracht werden kann. Diese Bedrohungsakteure sind auch an der Entwicklung und dem Verkauf von Cyberwaffen beteiligt, was selten ist. Sie verfügen über ein großes Arsenal an Werkzeugen, das sie im Laufe der Jahre entwickelt haben und das ihnen eine gewisse Flexibilität bei der Durchführung ihrer Operationen verleiht.

Empfohlene Maßnahmen

  • Unternehmen sollten robuste Sicherheitsmaßnahmen ergreifen, einschließlich der rechtzeitigen Behebung von Schwachstellen und starker Authentifizierungsprotokolle, um das Risiko der Ausbeutungsversuche durch RUBYCARP zu mindern.
  • Verbesserte Überwachungs- und Erkennungsmechanismen sind von entscheidender Bedeutung, um Botnet-Aktivitäten zu identifizieren und zu neutralisieren, insbesondere solche, an denen Perl Shellbot und IRC-Kommunikationskanäle beteiligt sind.
  • Wachsamkeit gegenüber Phishing-Versuchen, die auf finanzielle Vermögenswerte abzielen, insbesondere solche, die sich als seriöse Institutionen ausgeben, ist von größter Bedeutung. Die Umsetzung von E-Mail-Sicherheitsmaßnahmen und Benutzerschulungsprogrammen kann dieses Risiko mindern.
Mehr bei Sysdig.com

 


Über Sysdig 

In der Cloud zählt jede Sekunde. Angriffe erfolgen mit Höchstgeschwindigkeit und Sicherheitsteams müssen das Unternehmen schützen, ohne es zu verlangsamen. Sysdig stoppt Cloud-Angriffe in Echtzeit durch die sofortige Erkennung von Risikoveränderungen mithilfe von Runtime Intelligence und der Open-Source-Software Falco. Sysdig korreliert Signale über Cloud-Workloads, Identitäten und Services hinweg, um versteckte Angriffspfade aufzudecken und echte Risiken zu priorisieren. Von der Prävention bis zur Abwehr hilft Sysdig Unternehmen, sich auf das Wesentliche zu konzentrieren: Innovation.


 

Passende Artikel zum Thema

Global Threat Report 2024: Deswegen haben Angreifer Erfolg

Relativ leicht können Angreifer grundlegende Sicherheitseinstellungen leicht ausnutzen, das zeigt der Global Threat Report 2024 von Elastic. Standardisierte offensive Sicherheitstools und unzureichend ➡ Weiterlesen

APT41 hat mit DodgeBox und Moonwalk aufgerüstet

Analysten des Zscaler ThreatLabs haben die neuesten Entwicklungen der chinesischen Gruppierung APT41/Earth Baku unter die Lupe genommen. Dabei haben sie ➡ Weiterlesen

Report: Fertigungsbranche im Visier von Cyberkriminellen

Laut Threat Intelligence Report haben im ersten Halbjahr 2024 insbesondere Cyberattacken auf die Fertigungsbranche und den Industriesektor zugenommen. Der Report ➡ Weiterlesen

Ransomware-Studie: Vier-Jahres-Hoch im Gesundheitswesen

In seinem Report „The State of Ransomware in Healthcare 2024“ veröffentlicht Sophos seine aktuellen Ergebnisse über die steigenden Angriffe auf ➡ Weiterlesen

FBI vs. Star Blizzard: Russische APT-Gruppe verliert 100 Domains

Nach der offiziellen Meldung des US-Justizministerium hat das FBI die Spear-Phishing-Bemühungen des russischen Geheimdienstes stark beschnitten, in dem es 41 ➡ Weiterlesen

Ransomware-Angriffe: Der lange Leidensweg

Ransomware-Angriffe haben verheerende Folgen für Unternehmen. Sie dauern nur kurze Zeit, aber die Wiederherstellung kann sich über Monate hinziehen. Das ➡ Weiterlesen

Fertigung: Opfer von Credential-Harvesting-Angriffen

Cyberkriminelle haben es auf die Microsoft-Anmeldedaten von US-amerikanischen und kanadischen Fertigungsunternehmen abgesehen. Ein Anbieter von Cybersicherheitslösungen hat die Angriffe aufgedeckt ➡ Weiterlesen

Microsoft: APT-Gruppe Storm-0501 zielt auf Hybrid-Clouds

Microsoft hat beobachtet, wie der Bedrohungsakteur Storm-0501 einen mehrstufigen Angriff startete, bei dem er hybride Cloud-Umgebungen kompromittierte und sich lateral ➡ Weiterlesen