Aktuelles, Branche - geschrieben von dp am Donnerstag, April 18, 2024 10:41 - noch keine Kommentare
RUBYCARP: Sysdig Threat Research Team deckt rumänische Botnet-Operation auf
Hacker-Gruppe nutzt laut Sysdig TRT APT-Angriffe, Phishing, Kryptomining und DDoS, um sich zu bereichern
[datensicherheit.de, 18.04.2024] Das „Sysdig Threat Research Team“ (Sysdig TRT) hat nach eigenen Angaben „eine ausgeklügelte und lang andauernde Botnet-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens ,RUBYCARP’ betrieben wird und vermutlich bereits seit mindestens zehn Jahren aktiv ist“. Diese Entdeckung wirft demnach ein Schlaglicht auf eine jahrzehntelange Kampagne, „in der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden“.
RUBYCARP griff monatelang den vom Sysdig TRT geschalteten Honeypot an
Die Aktivitäten von „RUBYCARP“ zielten in erster Linie auf finanziellen Gewinn ab, wobei eine breite Palette von Tools und Techniken eingesetzt werde, um verwundbare Systeme anzugreifen, insbesondere solche, auf denen „Laravel“- und „WordPress“-Anwendungen liefen. Über einen sogenannten Honeypot habe Sysdig das Treiben dieser Hacker-Gruppe ans Licht bringen können:
„Über Monate hinweg griff ,RUBYCARP’ den vom Sysdig TRT geschalteten Honeypot an, indem ,Laravel’-Anwendungen, die für ,CVE-2021-3129‘ anfällig sind, ins Visier genommen und ausgenutzt wurden. Dies führte zu Beweisen für SSH-Brute-Forcing als weitere Methode, mit der sich die Gruppe Zugang zu ihren Zielen verschaffte.“
Die wichtigsten Erkenntnisse laut Sysdig TRT:
Zuordnung
Obwohl es schwierig sei, „RUBYCARP“ eindeutig zuzuordnen, werde davon ausgegangen, dass es sich um eine finanziell motivierte rumänische Bedrohungsgruppe handele, welche möglicherweise Verbindungen zu „APT Outlaw“ habe. Gemeinsame Taktiken und Werkzeuge mehrerer Gruppen von Bedrohungsakteuren erschwerten jedoch die Zuordnung.
Operation
Der Modus Operandi von „RUBYCARP“ umfasse die Bereitstellung von Hintertüren unter Verwendung des „Perl-Shellbots“, die Einrichtung von Befehls- und Kontrollfunktionen über IRC-Server und die Erweiterung des Botnets über verschiedene Kanäle. Die Gruppe beweise ein hohes Maß an Raffinesse, indem sie ihre Angriffstechniken ständig weiterentwickele und ihr Netzwerk verstecke, um einer Entdeckung zu entgehen.
Infrastruktur
Die „RUBYCARP“-Infrastruktur bestehe aus einer beträchtlichen Anzahl bösartiger IPs und Domains, welche regelmäßig ausgetauscht würden, um Ermittlungsbemühungen zu vereiteln. Die Gruppe nutze private und öffentliche IRC-Netzwerke wie „chat.juicessh.pro“ und „sshd.run“ zur Kommunikation und Koordination.
Motivation
„RUBYCARP“ konzentriere sich auf verschiedene illegale Einnahmequellen, darunter sogenanntes Kryptomining, DDoS-Attacken und Phishing. Die Gruppe verwendet selbst erstellte Mining-Pools und Tools zum Schürfen von „Krypto-Währungen“ wie „Monero“, „Ethereum“ und „Ravencoin“. Darüber hinaus gebe es Hinweise auf eine Beteiligung an Phishing-Kampagnen, welche auf finanzielle Vermögenswerte abzielten.
Diese mutmaßlich rumänische Bedrohungsgruppe sei seit fast einem Jahrzehnt aktiv. „Eine Zuordnung ist stets schwierig, aber es handelt sich höchstwahrscheinlich um eine Gruppe, die mit der ,Outlaw APT’-Gruppe und anderen, die den ,Perl Shellbot’ verwenden, in Verbindung gebracht werden kann.“ Diese Bedrohungsakteure seien auch an der Entwicklung und dem Verkauf von Cyber-Waffen beteiligt – „was selten ist“. Sie verfügten über ein großes Arsenal an Werkzeugen, welches sie im Laufe der Jahre entwickelt hätten und das ihnen eine gewisse Flexibilität bei der Durchführung ihrer Operationen verleihe.
Sysdig TRT gibt Sicherheits-Tipps:
Robuste Sicherheitsmaßnahmen
Unternehmen sollten robuste Sicherheitsmaßnahmen ergreifen, einschließlich der rechtzeitigen Behebung von Schwachstellen und starker Authentifizierungsprotokolle, um das Risiko der Ausbeutungsversuche durch „RUBYCARP“ zu mindern.
Verbesserung der Überwachungs- und Erkennungsmechanismen
Verbesserte Überwachungs- und Erkennungsmechanismen seien von entscheidender Bedeutung, um Botnet-Aktivitäten zu identifizieren und zu neutralisieren – „insbesondere solche, an denen ,Perl Shellbot’ und IRC-Kommunikationskanäle beteiligt sind“.
Erhöhte Wachsamkeit gegenüber Phishing
„Wachsamkeit gegenüber Phishing-Versuchen, die auf finanzielle Vermögenswerte abzielen, insbesondere solche, die sich als seriöse Institutionen ausgeben, ist von größter Bedeutung!“ Die Umsetzung von E-Mail-Sicherheitsmaßnahmen und Benutzerschulungsprogrammen könne dieses Risiko mindern.
Weitere Informationen zum Thema:
CVE
CVE-2021-3129
sysdig, Sysdig Threat Research Team, 09.04.2024
RUBYCARP: A Detailed Analysis of a Sophisticated Decade-Old Botnet Group
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren