Sysdig

資安業者Sysdig發現羅馬尼亞駭客組織Rubycarp的攻擊行動，這些駭客運用已公開漏洞及暴力破解等方式，架設殭屍網路，藉此進行挖礦、DDoS、網路釣魚等攻擊，主要目的是獲得經濟利益。研究人員推測，對方的活動至少進行了10年，但直到最近才被公開。

研究人員看到對方不斷探測蜜罐陷阱（Honeypot）環境，過程中利用網頁應用程式框架Laravel已知漏洞CVE-2021-3129（CVSS風險評分9.8），進而存取目標企業組織的內部網路環境，也出現暴力破解伺服器的SSH帳密，以及藉由WordPress網站截取帳密的情況。

一旦對方得逞，就有可能在被入侵的伺服器上，部署以Perl語言寫成的Shellbot後門程式，將受害主機納入殭屍網路。研究人員總共找到39個後門程式，但惡意程式分析網站VirusTotal僅偵測到其中8個，研究人員表示，這代表大部分的後門程式之前都未被發現。

值得留意的是，這些駭客不光經營上述殭屍網路，也開發與銷售相關的作案工具。研究人員指出，這樣的情況並不常見。