Cybersecurity -onderzoekers hebben de activiteiten van een initiële toegangsmakelaar (IAB) gedetailleerd gedetailleerd Toymaker Dat is waargenomen over de toegang tot dubbele afpersingsransomware -bendes zoals Cactus.
De IAB is met medium vertrouwen beoordeeld om een financieel gemotiveerde dreigingsacteur te zijn, te scannen op kwetsbare systemen en een aangepaste malware te implementeren genaamd Lagtoy (aka Holerun).
“Lagtoy kan worden gebruikt om reverse shells te maken en commando’s uit te voeren op geïnfecteerde eindpunten,” zeiden Cisco Talos -onderzoekers Joey Chen, Asheer Malhotra, Ashley Shen, Vitor Ventura en Brandon White.
De malware werd voor het eerst gedocumenteerd door Google-eigendom van Mandiant eind maart 2023, waardoor het gebruik ervan wordt toegeschreven aan een dreigingsacteur die het volgt als UNC961. Het activiteitencluster is ook bekend onder andere namen zoals Gold Melody en Prophet Spider.
De dreigingsacteur is waargenomen met behulp van een enorm arsenaal van bekende beveiligingsfouten in internetgerichte applicaties om initiële toegang te verkrijgen, gevolgd door het uitvoeren van verkenning, inloggegevens en Lagtoy-implementatie binnen een periode van een week.
De aanvallers openen ook SSH -verbindingen met een externe host om een forensische tool te downloaden genaamd Magnet Ram Capture om een geheugendump van de machine te verkrijgen in een waarschijnlijke poging om de referenties van het slachtoffer te verzamelen.
Lagtoy is ontworpen om contact op te nemen met een hard gecodeerde command-and-control (C2) -server om opdrachten op te halen voor latere uitvoering op het eindpunt. Het kan worden gebruikt om processen te maken en commando’s uit te voeren onder opgegeven gebruikers met overeenkomstige privileges, per mandiant.
De malware is ook uitgerust om drie opdrachten van de C2 -server te verwerken met een slaapinterval van 11000 milliseconden daartussen.
“Na een stilte in de activiteit van ongeveer drie weken, zagen we dat de cactusransomware -groep zijn weg baant naar de slachtofferonderneming met behulp van referenties gestolen door Tymaker,” zei Talos.
“Op basis van de relatief korte verblijftijd, het gebrek aan gegevensdiefstal en de daaropvolgende overdracht van cactus, is het onwaarschijnlijk dat Toymaker een spionage-gemotiveerde ambities of doelen had.”
In het incident dat door TALOS werd geanalyseerd, zouden de affiliates van de cactusransomware verkennings- en persistentieactiviteiten van hun eigen verkennings- en persistenties hebben uitgevoerd voorafgaand aan data -exfiltratie en codering. Ook zijn meerdere methoden waargenomen om langetermijntoegang in te stellen met behulp van OpenSSH-, Anydesk- en Ehorus-agent.
“Toymaker is een financieel gemotiveerde initiële toegangsmakelaar (IAB) die toegang verwerft tot hoogwaardige organisaties en vervolgens die toegang overdragen tot secundaire dreigingsactoren die meestal geld verdienen met de toegang via dubbele afpersing en ransomware-implementatie,” zei het bedrijf.
