Компания Sysdig опубликовала результаты своего нового исследования, которое проливает свет на десятилетнюю деятельность румынской хакерской группировки под названием RUBYCARP, специализирующейся на майнинге криптовалютных активов и фишинговых атаках.
Одним из ключевых выводов технической статьи, опубликованной Sysdig, является использование хакерской группой сценария, способного одновременно развертывать несколько майнеров криптовалюты. Запуская эти майнеры одновременно, RUBYCARP сокращает как время, необходимое для атаки, так и вероятность обнаружения. Скрипт в первую очередь предназначен для майнеров XMRig/Monero и ранее размещался на ныне несуществующем домене «download[.]c3bash[.]org».
Данные свидетельствуют о том, что RUBYCARP также проводит фишинговые операции с целью кражи ценных финансовых активов, включая номера кредитных карт. Исследователи обнаружили фишинговый шаблон, нацеленный на датских пользователей и выдававший себя за логистическую компанию Bring. Более того, PHP-скрипт под названием «ini.inc» был идентифицирован как инструмент, используемый для отправки этих фишинговых писем, со скомпрометированными учётными записями электронной почты, связанными с атаками.
Дальнейший анализ деятельности группы выявил множество инструментов и методов, включая использование определённых команд в коде shell-бота для отправки фишинговых писем. Исследователи также обнаружили доказательства потенциальной фишинговой целевой страницы, нацеленной на европейские организации, в том числе Swish Bank и Nets Bank.
В исследовании также подчёркивается участие RUBYCARP в разработке и продаже кибероружия. «Атрибуцию всегда сложно определить, но они, скорее всего, румыны и могут иметь некоторое сходство с группой Outlaw APT и другими организациями, использующими Perl Shellbot. Эти субъекты угроз также участвуют в разработке и продаже кибероружия, что не очень распространено», — говорится в сообщении.
По мнению экспертов по безопасности, общение между субъектами угроз на протяжении многих лет оставалось в целом стабильным, а IRC по-прежнему пользовался большой популярностью. Кроме того, заслуживает внимания динамика сообщества внутри RUBYCARP, поскольку оно предполагает наставничество для новичков на сцене. Этот аспект также предлагает группе финансовые преимущества, поскольку позже она сможет продать им разработанный ей набор инструментов.
Полная версия отчета здесь.
Оригинал публикации на сайте CISOCLUB: "Sysdig: хакеры из RUBYCARP более 10 лет распространяют вирусы для майнинга криптовалюты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
