Botnet-Operationen von RUBYCARP entdeckt Jahrzehnte altes Botnet aufgedeckt!
Anbieter zum Thema
Sicherheitsforscher bei Sysdig haben Botnetz-Aktionen aufgedeckt, die auf ein jahrzehntealtes Botnetz aus Rumänen schließen lassen. Wir zeigen die Hintergründe und auf was Unternehmen jetzt achten sollten.
Das Sysdig Threat Research Team berichtet von der Aufdeckung einer komplexen und seit über zehn Jahren bestehenden Botnetz-Operation, die von einer rumänischen Hackergruppe namens RUBYCARP durchgeführt wird. Diese Enthüllung hebt eine umfassende Kampagne hervor, in der Botnets mittels verschiedener Exploitation-Methoden und Brute-Force-Angriffen aufgebaut wurden.
Die Operationen von RUBYCARP fokussieren sich hauptsächlich auf den finanziellen Gewinn, wobei eine Vielfalt von Tools und Techniken genutzt wird, um Schwachstellen in Systemen auszunutzen, die Laravel- und WordPress-Anwendungen betreiben. Durch die Einrichtung eines Honeypots gelang es Sysdig, die Machenschaften der Hackergruppe ans Licht zu bringen.
Lateral Movement Paths (LMPs)
Wie sich Hacker in einem Netzwerk ausbreiten
RUBYCARP wurde durch Honeypot mit CVE-2021-3129 angelockt
Über mehrere Monate hinweg setzte RUBYCARP gezielte Angriffe auf diesen Honeypot fort und nutzte dabei speziell die Schwachstellen von Laravel-Anwendungen, die anfällig für CVE-2021-3129 sind. Diese Aktivitäten führten zur Entdeckung von SSH-Brute-Forcing als weiterer Methode zur Erlangung von Zugang zu Zielnetzwerken.
Die Gruppe zeigt ein hohes Maß an Raffinesse, indem sie ihre Angriffstechniken kontinuierlich weiterentwickelt und ihr Netzwerk verbirgt, um einer Entdeckung zu entgehen. Die Infrastruktur von RUBYCARP besteht aus einer beträchtlichen Anzahl von bösartigen IPs und Domains, die regelmäßig geändert werden. Die Gruppe nutzt sowohl private als auch öffentliche IRC-Netzwerke zur Kommunikation und Koordination ihrer Operationen.
Die Motivation von RUBYCARP erstreckt sich auf verschiedene illegale Einnahmequellen, darunter Kryptomining, DDoS-Attacken und Phishing. Die Gruppe betreibt eigene Mining-Pools und verwendet spezialisierte Tools zum Schürfen von Kryptowährungen wie Monero, Ethereum und Ravencoin. Zudem gibt es Hinweise auf ihre Beteiligung an Phishing-Kampagnen, die finanzielle Vermögenswerte ins Visier nehmen.
Cyberkriminalität
Wie man bösartige Bots erkennt
So können sich Unternehmen vor den RUBYCARP-Angriffen schützen
Zum Schutz vor solchen Bedrohungen sollten Unternehmen robuste Sicherheitsmaßnahmen ergreifen, einschließlich der rechtzeitigen Behebung von Sicherheitslücken und der Implementierung starker Authentifizierungsprotokolle. Erweiterte Überwachungs- und Erkennungsmechanismen sind von entscheidender Bedeutung, um Botnet-Aktivitäten zu identifizieren und zu neutralisieren, insbesondere solche, die Perl Shellbots und IRC-Kommunikationskanäle involvieren. Eine erhöhte Wachsamkeit gegenüber Phishing-Versuchen, insbesondere solchen, die sich als seriöse Institutionen ausgeben, ist ebenfalls unabdingbar. Die Implementierung von E-Mail-Sicherheitsmaßnahmen und Benutzerschulungen kann das Risiko von Phishing-Angriffen weiter minimieren.
(ID:50011596)