RUBYCARP 殭屍網路歸因於羅馬尼亞威脅行為者
據觀察,一個疑似源自羅馬尼亞的網路威脅組織 RUBYCARP 正在運行一個持久的殭屍網絡,從事各種非法活動,包括加密貨幣挖礦、分散式阻斷服務 (DDoS) 攻擊和網路釣魚計劃。
據 Sysdig 報導並與《駭客新聞》分享,該組織據信已經活躍了至少十年,主要利用殭屍網路獲取經濟利益。他們的作案手法包括透過一系列公共漏洞和暴力策略部署殭屍網絡,並透過公共和私人 IRC 網路進行通訊。
有證據表明,RUBYCARP 可能與阿爾巴尼亞網路安全公司 Alphatechs 追蹤的另一個威脅實體(被識別為 Outlaw)重疊。 Outlaw 有著從事加密貨幣挖礦和暴力攻擊的歷史,但最近將重點轉向網路釣魚和魚叉式網路釣魚活動。
RUBYCARP 專注於將網路釣魚作為初始攻擊媒介
安全研究員布倫頓·伊蘇菲 (Brenton Isufi) 表示,這些網路釣魚活動旨在誘騙受害者洩露登入憑證或財務資料等敏感資訊。
RUBYCARP 方法的一個值得注意的方面是他們使用 ShellBot(也稱為 PerlBot)惡意軟體來滲透目標環境。他們還利用 Laravel 框架中的漏洞,這是與 AndroxGh0st 等其他威脅行為者共享的策略。
為了擴大殭屍網路的影響範圍,RUBYCARP 被發現使用常見的使用者名稱-密碼組合來危害 WordPress 網站。一旦獲得存取權限,他們就會安裝一個基於流行的 Perl ShellBot 的後門,將受害者的伺服器連接到充當命令和控制角色的互聯網中繼聊天 (IRC) 伺服器。
此殭屍網路估計包括 600 多個主機,嚴重依賴 IRC 進行加密貨幣挖礦活動的通訊和協調。此外,該組織的成員透過名為 #cristi 的 Undernet IRC 頻道進行交流,並利用大量掃描器工具來識別潛在的新主機。
RUBYCARP 在網路威脅領域的出現突顯了他們擅長利用殭屍網路進行各種非法活動,包括旨在竊取信用卡號等敏感資訊的加密貨幣挖礦和網路釣魚操作。