Aktuelles, Branche - geschrieben von dp am Donnerstag, April 18, 2024 10:41 - noch keine Kommentare
RUBYCARP: Sysdig Threat Research Team deckt rumänische Botnet-Operation auf
Hacker-Gruppe nutzt laut Sysdig TRT APT-Angriffe, Phishing, Kryptomining und DDoS, um sich zu bereichern
[datensicherheit.de, 18.04.2024] Das „Sysdig Threat Research Team“ (Sysdig TRT) hat nach eigenen Angaben „eine ausgeklügelte und lang andauernde Botnet-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens ,RUBYCARP’ betrieben wird und vermutlich bereits seit mindestens zehn Jahren aktiv ist“. Diese Entdeckung wirft demnach ein Schlaglicht auf eine jahrzehntelange Kampagne, „in der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden“.
RUBYCARP griff monatelang den vom Sysdig TRT geschalteten Honeypot an
Die Aktivitäten von „RUBYCARP“ zielten in erster Linie auf finanziellen Gewinn ab, wobei eine breite Palette von Tools und Techniken eingesetzt werde, um verwundbare Systeme anzugreifen, insbesondere solche, auf denen „Laravel“- und „WordPress“-Anwendungen liefen. Über einen sogenannten Honeypot habe Sysdig das Treiben dieser Hacker-Gruppe ans Licht bringen können:
„Über Monate hinweg griff ,RUBYCARP’ den vom Sysdig TRT geschalteten Honeypot an, indem ,Laravel’-Anwendungen, die für ,CVE-2021-3129‘ anfällig sind, ins Visier genommen und ausgenutzt wurden. Dies führte zu Beweisen für SSH-Brute-Forcing als weitere Methode, mit der sich die Gruppe Zugang zu ihren Zielen verschaffte.“
Die wichtigsten Erkenntnisse laut Sysdig TRT:
Zuordnung
Obwohl es schwierig sei, „RUBYCARP“ eindeutig zuzuordnen, werde davon ausgegangen, dass es sich um eine finanziell motivierte rumänische Bedrohungsgruppe handele, welche möglicherweise Verbindungen zu „APT Outlaw“ habe. Gemeinsame Taktiken und Werkzeuge mehrerer Gruppen von Bedrohungsakteuren erschwerten jedoch die Zuordnung.
Operation
Der Modus Operandi von „RUBYCARP“ umfasse die Bereitstellung von Hintertüren unter Verwendung des „Perl-Shellbots“, die Einrichtung von Befehls- und Kontrollfunktionen über IRC-Server und die Erweiterung des Botnets über verschiedene Kanäle. Die Gruppe beweise ein hohes Maß an Raffinesse, indem sie ihre Angriffstechniken ständig weiterentwickele und ihr Netzwerk verstecke, um einer Entdeckung zu entgehen.
Infrastruktur
Die „RUBYCARP“-Infrastruktur bestehe aus einer beträchtlichen Anzahl bösartiger IPs und Domains, welche regelmäßig ausgetauscht würden, um Ermittlungsbemühungen zu vereiteln. Die Gruppe nutze private und öffentliche IRC-Netzwerke wie „chat.juicessh.pro“ und „sshd.run“ zur Kommunikation und Koordination.
Motivation
„RUBYCARP“ konzentriere sich auf verschiedene illegale Einnahmequellen, darunter sogenanntes Kryptomining, DDoS-Attacken und Phishing. Die Gruppe verwendet selbst erstellte Mining-Pools und Tools zum Schürfen von „Krypto-Währungen“ wie „Monero“, „Ethereum“ und „Ravencoin“. Darüber hinaus gebe es Hinweise auf eine Beteiligung an Phishing-Kampagnen, welche auf finanzielle Vermögenswerte abzielten.
Diese mutmaßlich rumänische Bedrohungsgruppe sei seit fast einem Jahrzehnt aktiv. „Eine Zuordnung ist stets schwierig, aber es handelt sich höchstwahrscheinlich um eine Gruppe, die mit der ,Outlaw APT’-Gruppe und anderen, die den ,Perl Shellbot’ verwenden, in Verbindung gebracht werden kann.“ Diese Bedrohungsakteure seien auch an der Entwicklung und dem Verkauf von Cyber-Waffen beteiligt – „was selten ist“. Sie verfügten über ein großes Arsenal an Werkzeugen, welches sie im Laufe der Jahre entwickelt hätten und das ihnen eine gewisse Flexibilität bei der Durchführung ihrer Operationen verleihe.
Sysdig TRT gibt Sicherheits-Tipps:
Robuste Sicherheitsmaßnahmen
Unternehmen sollten robuste Sicherheitsmaßnahmen ergreifen, einschließlich der rechtzeitigen Behebung von Schwachstellen und starker Authentifizierungsprotokolle, um das Risiko der Ausbeutungsversuche durch „RUBYCARP“ zu mindern.
Verbesserung der Überwachungs- und Erkennungsmechanismen
Verbesserte Überwachungs- und Erkennungsmechanismen seien von entscheidender Bedeutung, um Botnet-Aktivitäten zu identifizieren und zu neutralisieren – „insbesondere solche, an denen ,Perl Shellbot’ und IRC-Kommunikationskanäle beteiligt sind“.
Erhöhte Wachsamkeit gegenüber Phishing
„Wachsamkeit gegenüber Phishing-Versuchen, die auf finanzielle Vermögenswerte abzielen, insbesondere solche, die sich als seriöse Institutionen ausgeben, ist von größter Bedeutung!“ Die Umsetzung von E-Mail-Sicherheitsmaßnahmen und Benutzerschulungsprogrammen könne dieses Risiko mindern.
Weitere Informationen zum Thema:
CVE
CVE-2021-3129
sysdig, Sysdig Threat Research Team, 09.04.2024
RUBYCARP: A Detailed Analysis of a Sophisticated Decade-Old Botnet Group
Aktuelles, Experten - Apr 26, 2024 20:46 - noch keine Kommentare
eco-Stellungnahme zum Verschlüsselungsverbot – praktisch nicht umsetzbar und Verstoß gegen Grundrechte
weitere Beiträge in Experten
- Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt
- Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
Aktuelles, Branche - Apr 26, 2024 20:54 - noch keine Kommentare
Soziale Medien: Booster oder Cyber-Achillesferse für Politiker
weitere Beiträge in Branche
- DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher
- Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024
- DDoS-Attacken: Check Point warnt vor neue Wellen
- Finanzkriminalität: BioCatch publiziert ersten Bericht über digitalen Betrug mittels KI
- Zscaler-Report 2024: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren