I ricercatori della sicurezza informatica hanno dettagliato le attività di un dealer di accesso iniziale (IAB) soprannominato Toymaker che è stato osservato consegnare l’accesso per raddoppiare le bande di ransomware come come CACTUS.
L’IAB è stato valutato con media fiducia per essere un attore di minaccia finanziariamente motivato, scansioning per sistemi vulnerabili e distribuire un malware personalizzato chiamato Lagtoy (AKA HOLERUN).
“Lagtoy può essere utilizzato per creare gusci inversi ed eseguire comandi sugli endpoint infetti”, i ricercatori di Cisco Talos Joey Chen, Asheer Malhotra, Ashley Shen, Vitor Ventura e Brandon White disse.
Il malware è stato documentato per la prima volta da Mandiant di proprietà di Google alla high quality di marzo 2023, attribuendo il suo uso a un attore di minaccia che traccia come UNC961. Il cluster di attività è anche noto con altri nomi come la melodia d’oro e il profeta Spider.
L’attore delle minacce è stato osservato sfruttando un enorme arsenale di difetti di sicurezza noti nelle applicazioni rivolte a Web per ottenere l’accesso iniziale, seguito da una conduzione di ricognizioni, raccolta di credenziali e spiegamento di Lagtoy in un arco di una settimana.
Gli aggressori aprono anche connessioni SSH a un host remoto per scaricare uno strumento forense chiamato Magnet Ram Seize per ottenere un dump di memoria della macchina nel probabile tentativo di raccogliere le credenziali della vittima.
Lagtoy è progettato Per contattare un server di comando e controllo (C2) codificato per recuperare i comandi per la successiva esecuzione sull’endpoint. Può essere utilizzato per creare processi ed eseguire comandi in utenti specificati con privilegi corrispondenti, per mandiant.
Il malware è inoltre attrezzato per elaborare tre comandi dal server C2 con un intervallo di sonno di 11000 millisecondi tra di loro.
“Dopo una pausa in attività di circa tre settimane, abbiamo osservato che il gruppo di ransomware Cactus si faceva strada nell’impresa vittima usando le credenziali rubate da Toyymaker”, ha detto Talos.
“Sulla base del tempo di permanenza relativamente breve, della mancanza di furto di dati e della successiva consegna al cactus, è improbabile che Toyymaker abbia avuto ambizioni o obiettivi motivati dallo spionaggio.”
Nell’incidente analizzato da Talos, si cube che le affiliate di ransomware Cactus abbiano condotto attività di ricognizione e persistenza prima dell’esfiltrazione e della crittografia dei dati. Sono inoltre osservati più metodi per impostare l’accesso a lungo termine utilizzando l’agente OpenSSH, AnyDesk ed Ehorus.
“Toymaker è un dealer di accesso iniziale (IAB) che acquisisce l’accesso a organizzazioni di alto valore e quindi trasferisce l’accesso advert attori delle minacce secondarie che di solito monetizzano l’accesso tramite doppia estorsione e distribuzione del ransomware”, ha affermato la società.
