ルーマニア発「RUBYCARP」、10年超のサイバー攻撃活動を展開

Last Updated on 2024-04-10 00:02 by admin

ルーマニア起源とされる脅威グループ「RUBYCARP」が、少なくとも10年間活動している長期にわたるボットネットを維持していることが観察された。このグループは、クリプトマイニング、分散型サービス拒否(DDoS)攻撃、フィッシング攻撃を行うためにボットネットを利用している。Sysdigによる報告によると、RUBYCARPは公開された脆弱性やブルートフォース攻撃を使用してボットネットを展開し、公共およびプライベートのIRCネットワークを通じて通信している。

アルバニアのサイバーセキュリティ会社Alphatechsが追跡する別の脅威クラスター「Outlaw」とのクロスオーバーが示唆されている。Outlawはクリプトマイニングとブルートフォース攻撃を行っており、フィッシングおよびスピアフィッシングキャンペーンに転向している。RUBYCARPはShellBot(別名PerlBot)というマルウェアを使用してターゲット環境に侵入し、Laravel Frameworkのセキュリティ上の欠陥(例:CVE-2021-3129)を利用している。また、WordPressサイトが一般的なユーザー名とパスワードを使用して侵害される兆候が発見された。

このボットネットは600以上のホストを含むと推定され、IRCサーバー(”chat.juicessh[.]pro”)は2023年5月1日に作成された。グループのメンバーは、IRCチャンネル#cristiを通じて通信し、新しいホストを見つけるための大規模スキャナーツールも使用している。RUBYCARPは、クリプトマイニングやフィッシング操作を通じて様々な不正な収入源を利用する能力がある。盗まれたクレジットカードデータは攻撃インフラの購入に使用される可能性があるが、サイバー犯罪のアンダーグラウンドで販売することによって他の方法で収益化される可能性もある。Sysdigによると、これらの脅威アクターはサイバー兵器の開発と販売にも関与しており、多年にわたって構築された大規模なツールのアーセナルを持っている。

【ニュース解説】

ルーマニア起源とされる脅威グループ「RUBYCARP」が、10年以上にわたり活動していることが明らかになりました。このグループは、クリプトマイニング、分散型サービス拒否(DDoS)攻撃、フィッシング攻撃などを行うために、ボットネットを利用しています。Sysdigの報告によると、RUBYCARPは公開された脆弱性やブルートフォース攻撃を駆使してボットネットを展開し、公共およびプライベートのIRCネットワークを通じて通信しているとのことです。

このグループは、ShellBot(別名PerlBot)というマルウェアを使用してターゲット環境に侵入し、Laravel Frameworkのセキュリティ上の欠陥(例:CVE-2021-3129)を利用することが観察されています。さらに、WordPressサイトが一般的なユーザー名とパスワードを使用して侵害される兆候も発見されました。このボットネットは600以上のホストを含むと推定され、IRCサーバーを通じて一般的な通信およびボットネットの管理、クリプトマイニングキャンペーンの調整を行っています。

RUBYCARPの活動は、クリプトマイニングやフィッシング操作を通じて様々な不正な収入源を利用する能力を示しています。盗まれたクレジットカードデータは攻撃インフラの購入に使用される可能性がある一方で、サイバー犯罪のアンダーグラウンドで販売することによって他の方法で収益化される可能性もあります。Sysdigによると、これらの脅威アクターはサイバー兵器の開発と販売にも関与しており、多年にわたって構築された大規模なツールのアーセナルを持っています。

このニュースは、サイバーセキュリティの分野において、長期にわたって活動を続ける脅威グループが存在し、進化し続けることを示しています。RUBYCARPのようなグループは、既存のセキュリティ対策を回避し、新たな攻撃手法を開発する能力を持っています。これは、企業や組織がサイバーセキュリティ対策を常に更新し、強化する必要があることを強調しています。また、このようなグループの活動は、個人情報の保護や金融システムの安全性に対するリスクを高めるため、サイバーセキュリティの規制や政策にも影響を与える可能性があります。将来的には、より高度な防御技術の開発や国際的な協力が、このような脅威に対抗するための鍵となるでしょう。

from 10-Year-Old 'RUBYCARP' Romanian Hacker Group Surfaces with Botnet.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » ルーマニア発「RUBYCARP」、10年超のサイバー攻撃活動を展開

“ルーマニア発「RUBYCARP」、10年超のサイバー攻撃活動を展開” への1件のコメント

  1. 渡辺 淳のアバター
    渡辺 淳

    このニュースから、サイバーセキュリティの重要性が再確認されますね。特に、RUBYCARPのような脅威グループが10年以上にわたって活動し続け、さまざまな攻撃手法を用いていることは、セキュリティ対策を継続的に更新し、強化する必要性を浮き彫りにしています。私自身の仕事では、ソフトウェア開発の際にセキュリティを考慮した設計を心がけていますが、このような脅威グループの存在を知ると、もっとセキュリティの知識を深めるべきだと感じます。

    特に、公開された脆弱性やブルートフォース攻撃を利用してボットネットを展開する手法は、ソフトウェア開発者としても警戒すべきポイントです。使用するフレームワークやライブラリのセキュリティパッチを常に最新の状態に保つこと、強固なパスワードポリシーの導入、不審なアクセス試行を検知するシステムの構築など、基本的なセキュリティ対策がいかに重要かが改めて認識されます。

    さらに、このニュースは、サイバー犯罪が高度化し、複雑化していることを示しています。クリプトマイニングやフィッシング攻撃だけでなく、盗まれたクレジットカードデータの利用やサイバ