Das Sysdig-Threat-Research-Team (Sysdig-TRT) hat eine ausgeklügelte und lang andauernde Botnet-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens „RUBYCARP“ betrieben wird und vermutlich bereits seit mindestens zehn Jahren aktiv ist. Diese Entdeckung wirft ein Schlaglicht auf eine jahrzehntelange Kampagne, in der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden.
Die Aktivitäten von „RUBYCARP“ zielen in erster Linie auf finanziellen Gewinn ab, wobei eine breite Palette von Tools und Techniken eingesetzt wird, um verwundbare Systeme anzugreifen, insbesondere solche, auf denen Laravel- und WordPress-Anwendungen laufen. Über einen Honeypot konnte Sysdig das Treiben der Hackergruppe ans Licht bringen.
Über Monate hinweg griff Rubycarp den vom Sysdig-TRT geschalteten Honeypot an, indem Laravel-Anwendungen, die für CVE-2021-3129 anfällig sind, ins Visier genommen und ausgenutzt wurden. Dies führte zu Beweisen für SSH-Brute-Forcing als weitere Methode, mit der sich die Gruppe Zugang zu ihren Zielen verschaffte.
Die wichtigsten Erkenntnisse:
- Zuordnung: Obwohl es schwierig ist, Rubycarp eindeutig zuzuordnen, wird davon ausgegangen, dass es sich um eine finanziell motivierte rumänische Bedrohungsgruppe handelt, die möglicherweise Verbindungen zu APT Outlaw (Advanced-Persistent-Threat) hat. Gemeinsame Taktiken und Werkzeuge mehrerer Gruppen von Bedrohungsakteuren erschweren jedoch die Zuordnung.
- Operation: Der Modus Operandi von Rubycarp umfasst die Bereitstellung von Hintertüren unter Verwendung des Perl-Shellbots, die Einrichtung von Befehls- und Kontrollfunktionen über IRC-Server und die Erweiterung des Botnets über verschiedene Kanäle. Die Gruppe beweist ein hohes Maß an Raffinesse, indem sie ihre Angriffstechniken ständig weiterentwickelt und ihr Netzwerk versteckt, um einer Entdeckung zu entgehen.
- Infrastruktur: Die Infrastruktur von Rubycarp besteht aus einer beträchtlichen Anzahl bösartiger IPs und Domains, die regelmäßig ausgetauscht werden, um Ermittlungsbemühungen zu vereiteln. Die Gruppe nutzt private und öffentliche IRC-Netzwerke wie chat.juicessh.pro und sshd.run zur Kommunikation und Koordination.
- Motivation: Rubycarp konzentriert sich auf verschiedene illegale Einnahmequellen, darunter Kryptomining, DDoS-Attacken und Phishing. Die Gruppe verwendet selbst erstellte Mining-Pools und Tools zum Schürfen von Kryptowährungen wie Monero, Ethereum und Ravencoin. Darüber hinaus gibt es Hinweise auf eine Beteiligung an Phishing-Kampagnen, die auf finanzielle Vermögenswerte abzielen.
Rubycarp ist eine rumänische Bedrohungsgruppe, die seit fast einem Jahrzehnt aktiv ist. Eine Zuordnung ist stets schwierig, aber es handelt sich höchstwahrscheinlich um eine Gruppe, die mit der ‚Outlaw APT‘-Gruppe und anderen, die den Perl-Shellbot verwenden, in Verbindung gebracht werden kann. Diese Bedrohungsakteure sind auch an der Entwicklung und dem Verkauf von Cyberwaffen beteiligt, was selten ist. Sie verfügen über ein großes Arsenal an Werkzeugen, das sie im Laufe der Jahre entwickelt haben und das ihnen eine gewisse Flexibilität bei der Durchführung ihrer Operationen verleiht.
Empfohlene Maßnahmen:
- Unternehmen sollten robuste Sicherheitsmaßnahmen ergreifen, einschließlich der rechtzeitigen Behebung von Schwachstellen und starker Authentifizierungsprotokolle, um das Risiko der Ausbeutungsversuche durch Rubycarp zu mindern.
- Verbesserte Überwachungs- und Erkennungsmechanismen sind von entscheidender Bedeutung, um Botnet-Aktivitäten zu identifizieren und zu neutralisieren, insbesondere solche, an denen Perl-Shellbot und IRC-Kommunikationskanäle beteiligt sind.
- Wachsamkeit gegenüber Phishing-Versuchen, die auf finanzielle Vermögenswerte abzielen, insbesondere solche, die sich als seriöse Institutionen ausgeben, ist von größter Bedeutung. Die Umsetzung von E-Mail-Sicherheitsmaßnahmen und Benutzerschulungsprogrammen kann dieses Risiko mindern.
Info: Weitere Informationen und technische Details zum Ablauf der Kampagnen von Rubycarp-Auszügen aus den Konversationen der Täter und Screenshots des Codes finden sich unter: https://sysdig.com/blog/rubycarp-romanian-botnet-group/
#Sysdig
