研究发现RUBYCARP对加密货币的多矿工攻击

最近的一项研究揭示了一个名为RUBYCARP的罗马尼亚网络威胁组织长达十年的活动，该组织使用加密货币挖矿和网络钓鱼等技术。

Sysdig今天发布的技术报告中的一个主要发现是，该组织使用了一个能够同时部署多个加密货币矿工的脚本。

通过同时执行这些矿工，RUBYCARP减少了攻击所需的时间和被检测到的可能性。该脚本主要针对XMRig/Monero矿工，以前托管在一个现已关闭的域名“download[.]c3bash[.]org”上。

进一步的证据表明，RUBYCARP还进行网络钓鱼操作，窃取有价值的金融资产，包括信用卡号码。

研究人员发现了一个针对丹麦用户的网络钓鱼模板，该模板冒充物流公司Bring。此外，还有一个名为“ini”的PHP脚本。“Inc .”被认定是用来发送这些网络钓鱼邮件的工具，被破坏的电子邮件帐户与攻击有关。

对该组织活动的进一步分析揭示了各种工具和技术，包括使用shell bot代码中的特定命令来发送网络钓鱼电子邮件。研究人员还发现了针对欧洲实体的潜在网络钓鱼登陆页面的证据，包括Swish银行和Nets银行等。

该研究还强调了RUBYCARP参与网络武器的开发和销售。

“归因总是很困难，但他们很可能是罗马尼亚人，可能与‘Outlaw APT’组织和其他利用Perl Shellbot的组织有一些交集。这些威胁行为者还参与了网络武器的开发和销售，这并不常见。”

根据安全专家的说法，多年来，威胁行为者之间的通信大体上保持一致，IRC仍然非常受欢迎。此外，RUBYCARP中的社区动态值得注意，因为它涉及到指导新手进入场景。这方面还为团队提供了财务上的优势，因为它可以在以后将自己开发的工具集出售给团队。

Sysdig警告说:“虽然RUBYCARP针对已知漏洞并进行暴力攻击，但使其更加危险的是其开发后的工具和其能力的广度。”“防御这个群体需要勤奋的漏洞管理、强大的安全态势和运行时威胁检测。”

原文始发于微信公众号（HackSee）：研究发现RUBYCARP对加密货币的多矿工攻击