Jahrzehntelange rumänische Botnet-Operation aufgedeckt
Sicherheitsforscher haben eine komplexe und langjährige Botnet-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens RUBYCARP betrieben wird. Diese Operation ist vermutlich bereits seit mindestens zehn Jahren aktiv. Diese Entdeckung beleuchtet eine langanhaltende Kampagne, bei der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden.
Das Threat Research Team von Sysdig (Sysdig TRT) hat die Aktivitäten der Gruppe RUBYCARP aufgedeckt. RUBYCARP zielt hauptsächlich auf finanziellen Gewinn ab und setzt eine Vielzahl von Tools und Techniken ein, um verwundbare Systeme anzugreifen, insbesondere solche mit Laravel- und WordPress-Anwendungen.
Durch einen Honeypot konnte Sysdig das Vorgehen der Hackergruppe beobachten. Über Monate hinweg griff RUBYCARP den Honeypot des Sysdig TRT an, indem sie anfällige Laravel-Anwendungen (CVE-2021-3129) ausnutzten. Zusätzlich setzte die Gruppe SSH-Brute-Forcing ein, um Zugang zu ihren Zielen zu erhalten.
Die wichtigsten Erkenntnisse sind:
Zuordnung: RUBYCARP wird einer finanziell motivierten, vermutlich rumänischen Bedrohungsgruppe zugeordnet, die möglicherweise Verbindungen zu APT Outlaw (Advanced Persistent Threat) hat. Wegen der Verwendung gemeinsamer Taktiken und Werkzeuge mehrerer Bedrohungsgruppen ist die genaue Zuordnung jedoch schwierig.
Operation: RUBYCARP verwendet Perl-Shellbots, um Hintertüren einzurichten, richtet Befehls- und Kontrollfunktionen über IRC-Server ein und erweitert sein Botnet über verschiedene Kanäle. Die Gruppe zeigt hohe Raffinesse, indem sie ihre Angriffstechniken kontinuierlich weiterentwickelt und ihr Netzwerk verbirgt, um nicht entdeckt zu werden.
Infrastruktur: Die Infrastruktur von RUBYCARP umfasst eine beträchtliche Anzahl bösartiger IPs und Domains, die regelmäßig ausgetauscht werden, um Entdeckungsversuche zu erschweren. Die Gruppe nutzt private und öffentliche IRC-Netzwerke wie chat.juicessh.pro und sshd.run für Kommunikation und Koordination.
Motivation: RUBYCARP verfolgt verschiedene illegale Einnahmequellen, darunter Kryptomining, DDoS-Attacken und Phishing. Die Gruppe betreibt eigene Mining-Pools und verwendet Tools zum Schürfen von Kryptowährungen wie Monero, Ethereum und Ravencoin. Es gibt auch Hinweise auf die Beteiligung an Phishing-Kampagnen, die auf finanzielle Gewinne abzielen.
RUBYCARP ist auch daran beteiligt, Cyberwaffen zu entwickeln und zu verkaufen. Das ist in der Szene eher ungewöhnlich. Die Bedrohungsakteure haben im Laufe der Jahre ein umfangreiches Arsenal an Werkzeugen aufgebaut, was ihnen Flexibilität bei der Durchführung ihrer Operationen verleiht.
Es wird empfohlen, dass Unternehmen robuste Sicherheitsmaßnahmen ergreifen, einschließlich der zeitnahen Behebung von Schwachstellen und der Implementierung starker Authentifizierungsprotokolle, um das Risiko von Angriffen durch RUBYCARP zu minimieren. Zudem sind verbesserte Überwachungs- und Erkennungsmechanismen entscheidend, um Botnetz-Aktivitäten zu identifizieren und zu neutralisieren, insbesondere solche, die den Perl Shellbot und IRC-Kommunikationskanäle nutzen.
Besondere Aufmerksamkeit sollte auch Phishing-Versuchen gelten, die auf finanzielle Vermögenswerte abzielen und sich häufig hinter den Namen seriöser Institutionen verbergen. Die Implementierung von E-Mail-Sicherheitsmaßnahmen und Benutzerschulungsprogrammen kann dazu beitragen, dieses Risiko zu verringern.
Weitere Informationen und technische Details zum Ablauf der Kampagnen von RUBYCARP, Auszügen aus den Konversationen der Täter und Screenshots des Codes gibt es hier.