最近の調査研究により、暗号資産のマイニングやフィッシングなどの手法を用いる、RUBYCARPとして知られるルーマニアのサイバー脅威グループの10年にわたる活動が明らかになった。
本日Sysdigが公開した技術レポートの主要な発見の一つは、複数の暗号資産マイナーを同時に展開できるスクリプトを同グループが使用している点だ。
これらのマイナーを並行して実行することで、RUBYCARPは攻撃に要する時間と検知される可能性の双方を低減する。このスクリプトは主にXMRig/Moneroマイナーを標的としており、以前は現在は閉鎖されたドメイン「download[.]c3bash[.]org」にホストされていた。
さらなる 証拠から、RUBYCARPがクレジットカード番号を含む価値の高い金融資産を盗むために、フィッシング活動も行っていることが示唆される。
研究者らは、物流企業Bringになりすましてデンマークのユーザーを狙うフィッシング用テンプレートを発見した。 さらに、「ini.inc」という名称のPHPスクリプトが、これらのフィッシングメールを送信するために使用されたツールとして特定され、攻撃に関連する侵害されたメールアカウントも確認された。
同グループの活動をさらに分析したところ、シェルボットのコード内で特定のコマンドを用いてフィッシングメールを送信するなど、多様なツールや手法が明らかになった。研究者らはまた、Swish BankやNets Bankなどを含む欧州の組織を標的とした可能性のあるフィッシング用ランディングページの痕跡も見つけた。
この調査はまた、RUBYCARPがサイバー兵器の開発および販売に関与していることも強調している。
こうした兵器について詳しく読む:ロシアのハッキンググループSandworm、デンマークの重要インフラに対する前例のない攻撃との関連が判明
勧告には、「帰属の特定は常に難しいが、彼らはおそらくルーマニア人であり、Perl Shellbotを悪用する『Outlaw APT』 グループや他のグループと一部重複がある可能性がある。これらの脅威アクターはサイバー兵器の開発と販売にも関与しており、これはあまり一般的ではない」と記されている。
セキュリティ専門家によれば、脅威アクター間のコミュニケーションは長年にわたり概ね一貫しており、IRCが依然として高い人気を保っている。さらに、RUBYCARP内のコミュニティの力学は注目に値し、新参者をメンターとして指導することが含まれている。この側面は、後に自分たちが開発したツールセットを彼らに販売できるため、同グループにとって金銭的な利点ももたらす。
「RUBYCARPは既知の脆弱性を標的にし、ブルートフォース攻撃を行うが、より危険なのは侵害後のツールと、その能力の幅広さだ」 とSysdigは警告した。 「このグループに対抗するには、綿密な脆弱性管理、堅牢なセキュリティ態勢、そして実行時の脅威検知が必要だ。」
翻訳元: https://www.infosecurity-magazine.com/news/rubycarps-multi-miner-assault/
