'Rubycarp' adlı bir Roman botnet grubu, bilinen güvenlik açıklarından yararlanıyor ve kurumsal ağları ihlal etmek ve finansal kazanç için uzlaşma sunucularını uzatmak için kaba kuvvet saldırıları yapıyor.
Sysdig'in yeni bir raporuna göre, Rubycarp şu anda 600'den fazla uzlaştırılmış sunucu içeren özel IRC kanalları aracılığıyla yönetilen bir botnet işletiyor.
Sysdig, Rubycarp Botnet'in Perl tabanlı yükünün (Shellbot) 39 varyantını buldu, sadece sekizi Virustotal'da göründü ve aktivite için düşük algılama oranlarını gösterdi.
Araştırmacılar, "Sysdig Tehdit Araştırma Ekibi (Sysdig TRT) kısa süre önce Rubycarp olarak adlandırdığımız bir Romanya tehdit oyuncusu grubu tarafından işletilen uzun süredir devam eden bir botnet keşfetti."
"Kanıtlar, bu tehdit oyuncunun en az 10 yıldır aktif olduğunu gösteriyor."
Araştırmacılar, bağlantı gevşek ve botnetlerde kullanılan ortak taktiklere dayanmakla birlikte, Outlaw Apt Tehdit Grubu ile bazı ilişkiler not ettiler.
SYSDIG, Rubycarp'ın problarını birkaç ay boyunca balpotlarına algıladığını ve bir uzaktan kod yürütme güvenlik açığı olan CVE-2021-3129 üzerinden Laravel uygulamalarını hedeflediğini bildirdi.
Daha yakın zamanlarda, analistler Rubycarp'ın kaba zorlayıcı SSH sunucuları yaptığını ve WordPress sitelerini kimlik bilgisi dökümlerini kullanarak hedeflediğini gözlemlediler.
ShellBot yükü uzlaşmış bir sunucuya yüklendikten sonra, IRC tabanlı komut ve kontrol (C2) sunucusuna bağlanır ve botnet'in bir parçası haline gelir.
Araştırmacılar, muhtemelen farklı amaçlar için kullanılan 'meyve suyu', 'Cartier' ve 'Aridan' olmak üzere üç farklı botnet kümesi keşfettiler.
İstemci bağlantısını düzgün bir şekilde yapılandıramazsa, atılır ve IP'si, yetkisiz problara çalışan güvenlik analistlerinden altyapıyı korumak amacıyla engellenir.
Sysdig ayrıca, saldırganların bu github sayfasında bulunan eşlenmiş altyapının bir listesi ile algılama ve bloklardan kaçmak için altyapılarını sık sık döndürdüğünü not edin.
Yeni enfekte olmuş cihazlar, dağıtılmış Hizmet Reddi (DDOS) saldırıları, kimlik avı ve finansal sahtekarlık ve kripto para madenlerini çıkarmak için kullanılabilir.
Rubycarp, kurbanın hesaplama kaynaklarını kullanarak Monero, Ethereum ve Ravencoin gibi kripto para birimlerini çıkarmak için Nanominer, Xmrig ve C2bash adlı özel bir madenci kullanıyor.
Tehdit grubu ayrıca kredi kartı numaraları gibi finansal bilgileri çalmak için kimlik avı kullanır.
Bunu, tehlikeye atılan sunuculara kimlik avı şablonları dağıtarak veya onlardan kimlik avı e -postaları göndererek, bireyleri veya kuruluşları aldatıcı mesajlarla hedefleyerek başarırlar.
En son kampanyada kullanılan kimlik avı şablonları, İsviçre Bankası, Nets Bank ve lojistik getirme de dahil olmak üzere bir Avrupa hedefleme kapsamını göstermektedir.
Rubycarp, orada en büyük botnet operatörleri arasında olmasa da, on yılı aşkın bir süredir büyük ölçüde tespit edilmemeyi başardıkları gerçeği bir dereceye kadar gizli ve operasyonel güvenlik göstermektedir.
Bir botnet işletmenin yanı sıra, Sysdig, "siber silahların" geliştirilmesine ve satılmasına da dahil olduklarını ve bu da ellerinde büyük bir alet cephaneliğini gösterdiğini söylüyor.
Cisco, VPN hizmetlerini hedefleyen şifre püskürtme saldırılarını uyarıyor
Bilgisayar korsanları Ray Framework Kusurunu Sunucuları İhlal Etmek, Kaçırma Kaynaklarına Kullanım
THEOON kötü amaçlı yazılım, proxy hizmeti için 72 saat içinde 6.000 asus yönlendiricisine enfekte ediyor
Chrome Enterprise premium güvenlik alır ancak bunun için ödeme yapmanız gerekir
Microsoft, kötü amaçlı yazılım saldırılarında sömürülen iki Windows sıfır gününü düzeltir
Kaynak: Bleeping Computer