Laravel es un marco web gratuito y de código abierto basado en PHP para crear aplicaciones web de alta gama. Esta vulnerabilidad permite a atacantes no autenticados ejecutar códigos arbitrarios en los sistemas afectados.
La explotación de las aplicaciones Laravel por parte del actor de amenazas también llevó a Sysdig a evidencia de que el grupo estaba usando fuerza bruta de shell seguro (SSH) como otra forma en que el grupo obtuvo acceso a sus objetivos.
“Recientemente, también descubrimos evidencia de que el actor de amenazas apunta a sitios de WordPress utilizando volcados de nombres de usuarios y contraseñas. RUBYCARP continúa agregando nuevas técnicas de explotación a su arsenal para construir sus botnets”, añadió Sysdig.
La pandilla ha pasado desapercibida durante mucho tiempo, y el TRT de Sysdig es aparentemente el primero en descubrirlos. «TRT encontró sus chats públicos de ICS cuando obtuvieron acceso, por lo que hay información sobre cómo el equipo trajo nuevos piratas informáticos potenciales y los capacitó en torno a las herramientas y el enfoque que la pandilla también utilizó», dijo Sysdig.
Actor de amenazas con motivación financiera
Una vez que se obtiene el acceso, se instala una puerta trasera basada en el popular Perl Shellbot, explicó Sysdig. Luego, el servidor de la víctima se conecta a un servidor IRC que actúa como comando y control (C2) y se une a la botnet más grande.
“Durante la fase de reconocimiento de RUBYCARP, encontramos 39 variantes del archivo Perl (shellbot), pero sólo ocho estaban en VirusTotal. Esto significa que previamente sólo se detectaron unas pocas campañas”, añadió la empresa.