Aktuelles, Branche - geschrieben von dp am Donnerstag, April 18, 2024 10:41 - noch keine Kommentare
RUBYCARP: Sysdig Threat Research Team deckt rumänische Botnet-Operation auf
Hacker-Gruppe nutzt laut Sysdig TRT APT-Angriffe, Phishing, Kryptomining und DDoS, um sich zu bereichern
[datensicherheit.de, 18.04.2024] Das „Sysdig Threat Research Team“ (Sysdig TRT) hat nach eigenen Angaben „eine ausgeklügelte und lang andauernde Botnet-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens ,RUBYCARP’ betrieben wird und vermutlich bereits seit mindestens zehn Jahren aktiv ist“. Diese Entdeckung wirft demnach ein Schlaglicht auf eine jahrzehntelange Kampagne, „in der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden“.
RUBYCARP griff monatelang den vom Sysdig TRT geschalteten Honeypot an
Die Aktivitäten von „RUBYCARP“ zielten in erster Linie auf finanziellen Gewinn ab, wobei eine breite Palette von Tools und Techniken eingesetzt werde, um verwundbare Systeme anzugreifen, insbesondere solche, auf denen „Laravel“- und „WordPress“-Anwendungen liefen. Über einen sogenannten Honeypot habe Sysdig das Treiben dieser Hacker-Gruppe ans Licht bringen können:
„Über Monate hinweg griff ,RUBYCARP’ den vom Sysdig TRT geschalteten Honeypot an, indem ,Laravel’-Anwendungen, die für ,CVE-2021-3129‘ anfällig sind, ins Visier genommen und ausgenutzt wurden. Dies führte zu Beweisen für SSH-Brute-Forcing als weitere Methode, mit der sich die Gruppe Zugang zu ihren Zielen verschaffte.“
Die wichtigsten Erkenntnisse laut Sysdig TRT:
Zuordnung
Obwohl es schwierig sei, „RUBYCARP“ eindeutig zuzuordnen, werde davon ausgegangen, dass es sich um eine finanziell motivierte rumänische Bedrohungsgruppe handele, welche möglicherweise Verbindungen zu „APT Outlaw“ habe. Gemeinsame Taktiken und Werkzeuge mehrerer Gruppen von Bedrohungsakteuren erschwerten jedoch die Zuordnung.
Operation
Der Modus Operandi von „RUBYCARP“ umfasse die Bereitstellung von Hintertüren unter Verwendung des „Perl-Shellbots“, die Einrichtung von Befehls- und Kontrollfunktionen über IRC-Server und die Erweiterung des Botnets über verschiedene Kanäle. Die Gruppe beweise ein hohes Maß an Raffinesse, indem sie ihre Angriffstechniken ständig weiterentwickele und ihr Netzwerk verstecke, um einer Entdeckung zu entgehen.
Infrastruktur
Die „RUBYCARP“-Infrastruktur bestehe aus einer beträchtlichen Anzahl bösartiger IPs und Domains, welche regelmäßig ausgetauscht würden, um Ermittlungsbemühungen zu vereiteln. Die Gruppe nutze private und öffentliche IRC-Netzwerke wie „chat.juicessh.pro“ und „sshd.run“ zur Kommunikation und Koordination.
Motivation
„RUBYCARP“ konzentriere sich auf verschiedene illegale Einnahmequellen, darunter sogenanntes Kryptomining, DDoS-Attacken und Phishing. Die Gruppe verwendet selbst erstellte Mining-Pools und Tools zum Schürfen von „Krypto-Währungen“ wie „Monero“, „Ethereum“ und „Ravencoin“. Darüber hinaus gebe es Hinweise auf eine Beteiligung an Phishing-Kampagnen, welche auf finanzielle Vermögenswerte abzielten.
Diese mutmaßlich rumänische Bedrohungsgruppe sei seit fast einem Jahrzehnt aktiv. „Eine Zuordnung ist stets schwierig, aber es handelt sich höchstwahrscheinlich um eine Gruppe, die mit der ,Outlaw APT’-Gruppe und anderen, die den ,Perl Shellbot’ verwenden, in Verbindung gebracht werden kann.“ Diese Bedrohungsakteure seien auch an der Entwicklung und dem Verkauf von Cyber-Waffen beteiligt – „was selten ist“. Sie verfügten über ein großes Arsenal an Werkzeugen, welches sie im Laufe der Jahre entwickelt hätten und das ihnen eine gewisse Flexibilität bei der Durchführung ihrer Operationen verleihe.
Sysdig TRT gibt Sicherheits-Tipps:
Robuste Sicherheitsmaßnahmen
Unternehmen sollten robuste Sicherheitsmaßnahmen ergreifen, einschließlich der rechtzeitigen Behebung von Schwachstellen und starker Authentifizierungsprotokolle, um das Risiko der Ausbeutungsversuche durch „RUBYCARP“ zu mindern.
Verbesserung der Überwachungs- und Erkennungsmechanismen
Verbesserte Überwachungs- und Erkennungsmechanismen seien von entscheidender Bedeutung, um Botnet-Aktivitäten zu identifizieren und zu neutralisieren – „insbesondere solche, an denen ,Perl Shellbot’ und IRC-Kommunikationskanäle beteiligt sind“.
Erhöhte Wachsamkeit gegenüber Phishing
„Wachsamkeit gegenüber Phishing-Versuchen, die auf finanzielle Vermögenswerte abzielen, insbesondere solche, die sich als seriöse Institutionen ausgeben, ist von größter Bedeutung!“ Die Umsetzung von E-Mail-Sicherheitsmaßnahmen und Benutzerschulungsprogrammen könne dieses Risiko mindern.
Weitere Informationen zum Thema:
CVE
CVE-2021-3129
sysdig, Sysdig Threat Research Team, 09.04.2024
RUBYCARP: A Detailed Analysis of a Sophisticated Decade-Old Botnet Group
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren