Home » News » Cybersecurity » Jahrzehntelange rumänische Botnet-Operation aufgedeckt

Jahrzehntelange rumänische Botnet-Operation aufgedeckt

Sicherheitsforscher haben eine komplexe und langjährige Botnet-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens RUBYCARP betrieben wird. Diese Operation ist vermutlich bereits seit mindestens zehn Jahren aktiv. Diese Entdeckung beleuchtet eine langanhaltende Kampagne, bei der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden.

2 Min. Lesezeit
Botnet
Foto: ©AdobeStock/beebright

Das Threat Research Team von Sysdig (Sysdig TRT) hat die Aktivitäten der Gruppe RUBYCARP aufgedeckt. RUBYCARP zielt hauptsächlich auf finanziellen Gewinn ab und setzt eine Vielzahl von Tools und Techniken ein, um verwundbare Systeme anzugreifen, insbesondere solche mit Laravel- und WordPress-Anwendungen.

Durch einen Honeypot konnte Sysdig das Vorgehen der Hackergruppe beobachten. Über Monate hinweg griff RUBYCARP den Honeypot des Sysdig TRT an, indem sie anfällige Laravel-Anwendungen (CVE-2021-3129) ausnutzten. Zusätzlich setzte die Gruppe SSH-Brute-Forcing ein, um Zugang zu ihren Zielen zu erhalten.

Die wichtigsten Erkenntnisse sind:

Zuordnung: RUBYCARP wird einer finanziell motivierten, vermutlich rumänischen Bedrohungsgruppe zugeordnet, die möglicherweise Verbindungen zu APT Outlaw (Advanced Persistent Threat) hat. Wegen der Verwendung gemeinsamer Taktiken und Werkzeuge mehrerer Bedrohungsgruppen ist die genaue Zuordnung jedoch schwierig.

Operation: RUBYCARP verwendet Perl-Shellbots, um Hintertüren einzurichten, richtet Befehls- und Kontrollfunktionen über IRC-Server ein und erweitert sein Botnet über verschiedene Kanäle. Die Gruppe zeigt hohe Raffinesse, indem sie ihre Angriffstechniken kontinuierlich weiterentwickelt und ihr Netzwerk verbirgt, um nicht entdeckt zu werden.

Infrastruktur: Die Infrastruktur von RUBYCARP umfasst eine beträchtliche Anzahl bösartiger IPs und Domains, die regelmäßig ausgetauscht werden, um Entdeckungsversuche zu erschweren. Die Gruppe nutzt private und öffentliche IRC-Netzwerke wie chat.juicessh.pro und sshd.run für Kommunikation und Koordination.

Motivation: RUBYCARP verfolgt verschiedene illegale Einnahmequellen, darunter Kryptomining, DDoS-Attacken und Phishing. Die Gruppe betreibt eigene Mining-Pools und verwendet Tools zum Schürfen von Kryptowährungen wie Monero, Ethereum und Ravencoin. Es gibt auch Hinweise auf die Beteiligung an Phishing-Kampagnen, die auf finanzielle Gewinne abzielen.

RUBYCARP ist auch daran beteiligt, Cyberwaffen zu entwickeln und zu verkaufen. Das ist in der Szene eher ungewöhnlich. Die Bedrohungsakteure haben im Laufe der Jahre ein umfangreiches Arsenal an Werkzeugen aufgebaut, was ihnen Flexibilität bei der Durchführung ihrer Operationen verleiht.

Es wird empfohlen, dass Unternehmen robuste Sicherheitsmaßnahmen ergreifen, einschließlich der zeitnahen Behebung von Schwachstellen und der Implementierung starker Authentifizierungsprotokolle, um das Risiko von Angriffen durch RUBYCARP zu minimieren. Zudem sind verbesserte Überwachungs- und Erkennungsmechanismen entscheidend, um Botnetz-Aktivitäten zu identifizieren und zu neutralisieren, insbesondere solche, die den Perl Shellbot und IRC-Kommunikationskanäle nutzen.

Besondere Aufmerksamkeit sollte auch Phishing-Versuchen gelten, die auf finanzielle Vermögenswerte abzielen und sich häufig hinter den Namen seriöser Institutionen verbergen. Die Implementierung von E-Mail-Sicherheitsmaßnahmen und Benutzerschulungsprogrammen kann dazu beitragen, dieses Risiko zu verringern.

Weitere Informationen und technische Details zum Ablauf der Kampagnen von RUBYCARP, Auszügen aus den Konversationen der Täter und Screenshots des Codes gibt es hier.

Andere interessante News

Cyberattacken

Viele Cyberangriffe bleiben lange unentdeckt

Mehr als ein Fünftel (22 Prozent) der Cyberangriffe auf Unternehmen und Organisationen im vergangenen Jahr dauerten mehr als einen Monat an – dies bedeutet einen Anstieg von rund sechs Prozentpunkten gegenüber dem Vorjahr 2022. Eine aktuelle Studie belegt außerdem: Vertrauensvolle Beziehungen werden als Angriffsvektor ausgenutzt.

AI Act

EU-Mitgliedsstaaten beschließen KI-Regulierung für Europa

Die EU-Mitgliedsstaaten haben den AI Act im Ministerrat beschlossen. Nach der Veröffentlichung könnte der AI Act bereits Ende Juni oder Anfang Juli in Kraft treten. Unternehmen müssen dann bereits sechs Monate später erste Regeln befolgen.

DaaS - Desktop as a Service

Wie Device as a Service die IT-Security stärkt

Die Sicherheit am digitalen Arbeitsplatz bleibt ein zentrales Thema für IT-Entscheider. Besonders attraktiv ist dabei Device as a Service (DaaS), also die Auslagerung der Beschaffung, Bereitstellung, Verwaltung und des Austauschs von Geräten. Diese „as a Service“-Modelle tragen mit hohen Sicherheitsstandards zur aktiven und präventiven Sicherheit bei.