RUBYCARP: Sysdig Threat Research Team deckt rumänische Botnet-Operation auf

Hacker-Gruppe nutzt laut Sysdig TRT APT-Angriffe, Phishing, Kryptomining und DDoS, um sich zu bereichern

[datensicherheit.de, 18.04.2024] Das „Sysdig Threat Research Team“ (Sysdig TRT) hat nach eigenen Angaben „eine ausgeklügelte und lang andauernde Botnet-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens ,RUBYCARP’ betrieben wird und vermutlich bereits seit mindestens zehn Jahren aktiv ist“. Diese Entdeckung wirft demnach ein Schlaglicht auf eine jahrzehntelange Kampagne, „in der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden“.

RUBYCARP griff monatelang den vom Sysdig TRT geschalteten Honeypot an

Die Aktivitäten von „RUBYCARP“ zielten in erster Linie auf finanziellen Gewinn ab, wobei eine breite Palette von Tools und Techniken eingesetzt werde, um verwundbare Systeme anzugreifen, insbesondere solche, auf denen „Laravel“- und „WordPress“-Anwendungen liefen. Über einen sogenannten Honeypot habe Sysdig das Treiben dieser Hacker-Gruppe ans Licht bringen können:

„Über Monate hinweg griff ,RUBYCARP’ den vom Sysdig TRT geschalteten Honeypot an, indem ,Laravel’-Anwendungen, die für ,CVE-2021-3129‘ anfällig sind, ins Visier genommen und ausgenutzt wurden. Dies führte zu Beweisen für SSH-Brute-Forcing als weitere Methode, mit der sich die Gruppe Zugang zu ihren Zielen verschaffte.“

Die wichtigsten Erkenntnisse laut Sysdig TRT:

Zuordnung
Obwohl es schwierig sei, „RUBYCARP“ eindeutig zuzuordnen, werde davon ausgegangen, dass es sich um eine finanziell motivierte rumänische Bedrohungsgruppe handele, welche möglicherweise Verbindungen zu „APT Outlaw“ habe. Gemeinsame Taktiken und Werkzeuge mehrerer Gruppen von Bedrohungsakteuren erschwerten jedoch die Zuordnung.

Operation
Der Modus Operandi von „RUBYCARP“ umfasse die Bereitstellung von Hintertüren unter Verwendung des „Perl-Shellbots“, die Einrichtung von Befehls- und Kontrollfunktionen über IRC-Server und die Erweiterung des Botnets über verschiedene Kanäle. Die Gruppe beweise ein hohes Maß an Raffinesse, indem sie ihre Angriffstechniken ständig weiterentwickele und ihr Netzwerk verstecke, um einer Entdeckung zu entgehen.

Infrastruktur
Die „RUBYCARP“-Infrastruktur bestehe aus einer beträchtlichen Anzahl bösartiger IPs und Domains, welche regelmäßig ausgetauscht würden, um Ermittlungsbemühungen zu vereiteln. Die Gruppe nutze private und öffentliche IRC-Netzwerke wie „chat.juicessh.pro“ und „sshd.run“ zur Kommunikation und Koordination.

Motivation
„RUBYCARP“ konzentriere sich auf verschiedene illegale Einnahmequellen, darunter sogenanntes Kryptomining, DDoS-Attacken und Phishing. Die Gruppe verwendet selbst erstellte Mining-Pools und Tools zum Schürfen von „Krypto-Währungen“ wie „Monero“, „Ethereum“ und „Ravencoin“. Darüber hinaus gebe es Hinweise auf eine Beteiligung an Phishing-Kampagnen, welche auf finanzielle Vermögenswerte abzielten.

Diese mutmaßlich rumänische Bedrohungsgruppe sei seit fast einem Jahrzehnt aktiv. „Eine Zuordnung ist stets schwierig, aber es handelt sich höchstwahrscheinlich um eine Gruppe, die mit der ,Outlaw APT’-Gruppe und anderen, die den ,Perl Shellbot’ verwenden, in Verbindung gebracht werden kann.“ Diese Bedrohungsakteure seien auch an der Entwicklung und dem Verkauf von Cyber-Waffen beteiligt – „was selten ist“. Sie verfügten über ein großes Arsenal an Werkzeugen, welches sie im Laufe der Jahre entwickelt hätten und das ihnen eine gewisse Flexibilität bei der Durchführung ihrer Operationen verleihe.

Sysdig TRT gibt Sicherheits-Tipps:

Robuste Sicherheitsmaßnahmen
Unternehmen sollten robuste Sicherheitsmaßnahmen ergreifen, einschließlich der rechtzeitigen Behebung von Schwachstellen und starker Authentifizierungsprotokolle, um das Risiko der Ausbeutungsversuche durch „RUBYCARP“ zu mindern.

Verbesserung der Überwachungs- und Erkennungsmechanismen
Verbesserte Überwachungs- und Erkennungsmechanismen seien von entscheidender Bedeutung, um Botnet-Aktivitäten zu identifizieren und zu neutralisieren – „insbesondere solche, an denen ,Perl Shellbot’ und IRC-Kommunikationskanäle beteiligt sind“.

Erhöhte Wachsamkeit gegenüber Phishing
„Wachsamkeit gegenüber Phishing-Versuchen, die auf finanzielle Vermögenswerte abzielen, insbesondere solche, die sich als seriöse Institutionen ausgeben, ist von größter Bedeutung!“ Die Umsetzung von E-Mail-Sicherheitsmaßnahmen und Benutzerschulungsprogrammen könne dieses Risiko mindern.

Weitere Informationen zum Thema:

CVE
CVE-2021-3129

sysdig, Sysdig Threat Research Team, 09.04.2024
RUBYCARP: A Detailed Analysis of a Sophisticated Decade-Old Botnet Group