Eine Gruppe von Bedrohungsakteuren namens RUBYCARP hat sich über mindestens ein Jahrzehnt hinweg durch APT-Angriffe, Phishing, Kryptomining und DDoS-Angriffe bereichert.

Das Team für Bedrohungsforschung von Sysdig (Sysdig TRT) hat eine ausgefeilte und lang andauernde Botnetzoperation aufgedeckt, die von einer rumänischen Gruppe namens RUBYCARP betrieben wird und vermutlich seit mindestens zehn Jahren aktiv ist. Diese Entdeckung beleuchtet eine langfristige Kampagne, bei der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe erstellt wurden.

RUBYCARPs Aktivitäten zielen hauptsächlich darauf ab, finanziellen Gewinn zu erzielen, wobei eine Vielzahl von Tools und Techniken eingesetzt wird, um anfällige Systeme anzugreifen, insbesondere solche, die Laravel- und WordPress-Anwendungen verwenden. Sysdig konnte durch die Nutzung eines Honeypots die Aktivitäten dieser Hackergruppe aufdecken.

Über Monate hinweg hat RUBYCARP den von Sysdig TRT eingerichteten Honeypot angegriffen, wobei Laravel-Anwendungen, die für CVE-2021-3129 anfällig sind, ins Visier genommen und ausgenutzt wurden. Dies führte zur Entdeckung von SSH-Brute-Forcing als weiterer Methode, mit der die Gruppe Zugang zu ihren Zielen erlangte.

Die wichtigsten Erkenntnisse sind:

• Zugehörigkeit: Obwohl es schwierig ist, RUBYCARP eindeutig zuzuordnen, wird vermutet, dass es sich um eine finanziell motivierte rumänische Bedrohungsgruppe handelt, die möglicherweise Verbindungen zu APT Outlaw (Advanced Persistent Threat) hat. Die gemeinsame Verwendung von Taktiken und Werkzeugen durch mehrere Gruppen von Bedrohungsakteuren erschwert jedoch die Zuordnung.
• Vorgehensweise: RUBYCARPs Modus Operandi umfasst die Einrichtung von Hintertüren mithilfe des Perl-Shellbots, die Verwendung von IRC-Servern zur Befehls- und Kontrollfunktion sowie die Erweiterung des Botnets über verschiedene Kanäle. Die Gruppe zeigt ein hohes Maß an Raffinesse, indem sie ihre Angriffstechniken kontinuierlich weiterentwickelt und ihr Netzwerk verbirgt, um Entdeckungen zu vermeiden.
• Infrastruktur: Die Infrastruktur von RUBYCARP besteht aus einer beträchtlichen Anzahl bösartiger IPs und Domains, die regelmäßig ausgetauscht werden, um Ermittlungsbemühungen zu vereiteln. Die Gruppe nutzt private und öffentliche IRC-Netzwerke wie chat.juicessh.pro und sshd.run zur Kommunikation und Koordination.
• Motivation: RUBYCARP konzentriert sich auf verschiedene illegale Einnahmequellen, darunter Kryptomining, DDoS-Angriffe und Phishing. Die Gruppe verwendet selbst erstellte Mining-Pools und Tools zum Schürfen von Kryptowährungen wie Monero, Ethereum und Ravencoin. Darüber hinaus gibt es Hinweise auf eine Beteiligung an Phishing-Kampagnen, die auf finanzielle Vermögenswerte abzielen.

RUBYCARP ist eine rumänische Bedrohungsgruppe, die seit fast einem Jahrzehnt aktiv ist. Obwohl es schwierig ist, sie eindeutig zuzuordnen, wird sie höchstwahrscheinlich mit der ‚Outlaw APT‘-Gruppe und anderen, die den Perl Shellbot verwenden, in Verbindung gebracht. Diese Bedrohungsakteure sind auch an der Entwicklung und dem Verkauf von Cyberwaffen beteiligt, was selten ist. Sie verfügen über ein großes Arsenal an Werkzeugen, das sie im Laufe der Jahre entwickelt haben und das ihnen eine gewisse Flexibilität bei der Durchführung ihrer Operationen verleiht.

Empfohlene Maßnahmen:

• Unternehmen sollten robuste Sicherheitsmaßnahmen ergreifen, einschließlich der rechtzeitigen Behebung von Schwachstellen und starker Authentifizierungsprotokolle, um das Risiko der Ausbeutungsversuche durch RUBYCARP zu mindern.
• Verbesserte Überwachungs- und Erkennungsmechanismen sind von entscheidender Bedeutung, um Botnetzaktivitäten zu identifizieren und zu neutralisieren, insbesondere solche, die den Perl Shellbot und IRC-Kommunikationskanäle verwenden.
• Wachsamkeit gegenüber Phishing-Versuchen, die auf finanzielle Vermögenswerte abzielen, insbesondere solche, die sich als seriöse Institutionen ausgeben, ist von größter Bedeutung. Die Umsetzung von E-Mail-Sicherheitsmaßnahmen und Benutzerschulungsprogrammen kann dieses Risiko mindern.