ルーマニア起源とされる脅威グループ「RUBYCARP」が、少なくとも10年間活動している長期にわたるボットネットを維持していることが観察された。このグループは、クリプトマイニング、分散型サービス拒否(DDoS)攻撃、フィッシング攻撃を行うためにボットネットを利用している。Sysdigによる報告によると、RUBYCARPは公開された脆弱性やブルートフォース攻撃を使用してボットネットを展開し、公共およびプライベートのIRCネットワークを通じて通信している。
アルバニアのサイバーセキュリティ会社Alphatechsが追跡する別の脅威クラスター「Outlaw」とのクロスオーバーが示唆されている。Outlawはクリプトマイニングとブルートフォース攻撃を行っており、フィッシングおよびスピアフィッシングキャンペーンに転向している。RUBYCARPはShellBot(別名PerlBot)というマルウェアを使用してターゲット環境に侵入し、Laravel Frameworkのセキュリティ上の欠陥(例:CVE-2021-3129)を利用している。また、WordPressサイトが一般的なユーザー名とパスワードを使用して侵害される兆候が発見された。
このボットネットは600以上のホストを含むと推定され、IRCサーバー(”chat.juicessh[.]pro”)は2023年5月1日に作成された。グループのメンバーは、IRCチャンネル#cristiを通じて通信し、新しいホストを見つけるための大規模スキャナーツールも使用している。RUBYCARPは、クリプトマイニングやフィッシング操作を通じて様々な不正な収入源を利用する能力がある。盗まれたクレジットカードデータは攻撃インフラの購入に使用される可能性があるが、サイバー犯罪のアンダーグラウンドで販売することによって他の方法で収益化される可能性もある。Sysdigによると、これらの脅威アクターはサイバー兵器の開発と販売にも関与しており、多年にわたって構築された大規模なツールのアーセナルを持っている。
【ニュース解説】
ルーマニア起源とされる脅威グループ「RUBYCARP」が、10年以上にわたり活動していることが明らかになりました。このグループは、クリプトマイニング、分散型サービス拒否(DDoS)攻撃、フィッシング攻撃などを行うために、ボットネットを利用しています。Sysdigの報告によると、RUBYCARPは公開された脆弱性やブルートフォース攻撃を駆使してボットネットを展開し、公共およびプライベートのIRCネットワークを通じて通信しているとのことです。
このグループは、ShellBot(別名PerlBot)というマルウェアを使用してターゲット環境に侵入し、Laravel Frameworkのセキュリティ上の欠陥(例:CVE-2021-3129)を利用することが観察されています。さらに、WordPressサイトが一般的なユーザー名とパスワードを使用して侵害される兆候も発見されました。このボットネットは600以上のホストを含むと推定され、IRCサーバーを通じて一般的な通信およびボットネットの管理、クリプトマイニングキャンペーンの調整を行っています。
RUBYCARPの活動は、クリプトマイニングやフィッシング操作を通じて様々な不正な収入源を利用する能力を示しています。盗まれたクレジットカードデータは攻撃インフラの購入に使用される可能性がある一方で、サイバー犯罪のアンダーグラウンドで販売することによって他の方法で収益化される可能性もあります。Sysdigによると、これらの脅威アクターはサイバー兵器の開発と販売にも関与しており、多年にわたって構築された大規模なツールのアーセナルを持っています。
このニュースは、サイバーセキュリティの分野において、長期にわたって活動を続ける脅威グループが存在し、進化し続けることを示しています。RUBYCARPのようなグループは、既存のセキュリティ対策を回避し、新たな攻撃手法を開発する能力を持っています。これは、企業や組織がサイバーセキュリティ対策を常に更新し、強化する必要があることを強調しています。また、このようなグループの活動は、個人情報の保護や金融システムの安全性に対するリスクを高めるため、サイバーセキュリティの規制や政策にも影響を与える可能性があります。将来的には、より高度な防御技術の開発や国際的な協力が、このような脅威に対抗するための鍵となるでしょう。
from 10-Year-Old 'RUBYCARP' Romanian Hacker Group Surfaces with Botnet.
