Кукловод из даркнета: пока вы обновляли Windows, ToyMaker уже продал ваши пароли конкурентам
Cisco Talos раскрыла «бизнес-стратегию» опасного брокера данных.
В мире киберпреступности появился новый опасный игрок: компания Cisco Talos раскрыла схему работы брокера первичного доступа под псевдонимом ToyMaker. Злоумышленник продает скомпрометированные системы операторам программ-вымогателей, в частности, группировке CACTUS.
Хакер применяет специально разработанное вредоносное ПО LAGTOY, также известное под названием HOLERUN, которое создает обратные оболочки и выполняет команды на зараженных устройствах.
Первые сведения об этой угрозе появились в конце марта 2023 года в отчетах компании Mandiant, принадлежащей Google. Тогда его связали с группой UNC961, также известной под названиями Gold Melody и Prophet Spider.
В ходе атак эксплуатируется обширный набор известных уязвимостей в приложениях с выходом в интернет. Получив начальный доступ, злоумышленник изучает инфраструктуру жертвы, собирает учетные данные и внедряет LAGTOY — весь процесс занимает не более недели.
В ходе операции ToyMaker подключается через SSH к удаленному серверу, чтобы загрузить специализированный инструмент Magnet RAM Capture. С его помощью создается дамп оперативной памяти машины — предположительно так добываются учетные данные.
LAGTOY взаимодействует с жестко закодированным сервером управления и контроля (C2), который передает команды для последующего выполнения. По данным Mandiant, вредоносное ПО запускает процессы и исполняет команды от имени определенных пользователей с соответствующими привилегиями.
Технический анализ выявил: программа обрабатывает три команды от управляющего сервера с интервалом в 11000 миллисекунд между ними. Таким образом контролировать зараженные сети можно максимально эффективно.
После того как ToyMaker получил первоначальный доступ к системам пострадавшей компании и похитил учетные данные, в его активности наступило затишье примерно на три недели. Затем команда Talos обнаружила: вымогательская группировка CACTUS проникла в корпоративную сеть той же организации, используя украденные сведения.
Характер действий злоумышленника — короткое пребывание в системе и быстрая передача доступа коллегам без масштабного хищения файлов — указывает на чисто финансовую мотивацию. О каких-либо разведывательных целях в данном случае речи не идет.
После того как операторы CACTUS получили доступ, они провели собственное исследование сети и подготовили плацдарм для долговременного присутствия. Чтобы закрепиться, они также задействовали различные легитимные инструменты: OpenSSH, AnyDesk и eHorus Agent.