Un groupe de botnets roumain nommé « RUBYCARP » exploite des vulnérabilités connues et effectue des attaques par force brute pour violer les réseaux d’entreprise et compromettre les serveurs à des fins financières.

Selon un nouveau rapport de Sysdig, RUBYCARP exploite actuellement un botnet géré via des canaux IRC privés comprenant plus de 600 serveurs compromis.

Sysdig a trouvé 39 variantes de la charge utile basée sur Perl du botnet RUBYCARP( shellbot), dont seulement huit apparaissent sur VirusTotal, illustrant de faibles taux de détection de l’activité.

« L’équipe de recherche sur les menaces Sysdig (Sysdig TRT) a récemment découvert un botnet de longue date exploité par un groupe d’acteurs roumains de la menace, que nous appelons RUBYCARP », expliquent les chercheurs.

« Les preuves suggèrent que cet acteur menaçant est actif depuis au moins 10 ans. »

Les chercheurs ont noté certaines associations avec le groupe de menaces hors-la-loi APT, bien que le lien soit lâche et basé sur des tactiques courantes utilisées dans les botnets.

Attaques de RUBYCARPE
Sysdig rapporte qu’il détecte les sondes de RUBYCARP vers ses pots de miel depuis plusieurs mois, ciblant les applications Laravel via CVE-2021-3129, une vulnérabilité d’exécution de code à distance.

Plus récemment, les analystes ont observé RUBYCARP effectuer des serveurs SSH à force brute et cibler des sites WordPress à l’aide de vidages d’informations d’identification.

Diagramme d’attaque de CARPE RUBIS

Une fois la charge utile shellbot installée sur un serveur compromis, elle se connecte au serveur de commande et de contrôle (C2) basé sur IRC et fait partie du botnet.

Les chercheurs ont découvert trois groupes de botnets distincts, à savoir « Juice », « Cartier » et « Aridan », qui sont probablement utilisés à des fins différentes.

Si le client ne parvient pas à configurer correctement sa connexion, il est expulsé et son adresse IP est bloquée dans le but de protéger l’infrastructure des analystes de sécurité qui tentent des sondes non autorisées.

Sysdig note également que les attaquants font tourner fréquemment leur infrastructure pour échapper à la détection et aux blocages, avec une liste de l’infrastructure mappée trouvée sur cette page GitHub

Aperçu de la structure opérationnelle

Serveurs piratés abusés lors d’attaques
Les appareils nouvellement infectés peuvent être utilisés pour lancer des attaques par déni de service distribué (DDoS), du phishing et de la fraude financière, et pour exploiter la crypto-monnaie.

RUBY KARP utilise le nanomineur, XMrig et un mineur personnalisé nommé C2Bash pour extraire des crypto-monnaies comme Monero, Ethereum et Ravencoin, en utilisant les ressources informatiques de la victime.

Le groupe de menaces utilise également l’hameçonnage pour voler des informations financières telles que des numéros de carte de crédit.

Ils y parviennent en déployant des modèles d’hameçonnage sur des serveurs compromis ou en envoyant des courriels d’hameçonnage à partir d’eux, ciblant des individus ou des organisations avec des messages trompeurs.

Les modèles de phishing utilisés dans la dernière campagne indiquent un périmètre de ciblage européen, comprenant la Banque suisse, la Banque de billets et Bring Logistics.

Message d’hameçonnage rédigé en danois

Bien que RUBYCARP ne fasse pas partie des plus grands opérateurs de botnets, le fait qu’ils aient réussi à fonctionner en grande partie sans être détectés pendant plus d’une décennie montre un certain degré de furtivité et de sécurité opérationnelle.

En plus d’exploiter un botnet, SYSDIG dit qu’ils sont également impliqués dans le développement et la vente de « cyber-armes », indiquant un vaste arsenal d’outils à leur disposition.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *