Cisco Talos разкрива „бизнес стратегията“ на един опасен особено опасен брокер на данни.
В света на киберпрестъпността има нов опасен играч: Cisco Talos разкри схемата на работа на брокер на първичен достъп под псевдонима ToyMaker. Атакуващият продава компрометирани системи на рансъмуер оператори за изнудване, по-конкретно на групата CACTUS.
Хакерът използва специално разработения зловреден софтуер LAGTOY, известен също като HOLERUN, който създава реверсивни шелове и изпълнява почти произволни команди на заразените устройства.
Заплахата е докладвана за първи път в края на март 2023 г. в отчетите на Mandiant, компания, собственост на Google. По това време тя е свързана с групата UNC961, известна още като Gold Melody и Prophet Spider.
Атаките използват обширен набор от известни уязвимости в свързаните с интернет приложения. След като получи първоначален достъп, нападателят се запознава с инфраструктурата на жертвата, събира идентификационните данни и внедрява LAGTOY – целият процес отнема не повече от седмица.
По време на операцията ToyMaker се свързва чрез SSH с отдалечен сървър, за да изтегли специализирания инструмент Magnet RAM Capture. Този инструмент се използва за създаване на дъмп на RAM паметта на машината, което вероятно е начинът, по който се извличат данните за логване.
LAGTOY комуникира с твърдо кодиран сървър за управление и контрол (C2), който изпраща команди за по-късно изпълнение. Според Mandiant зловредният софтуер стартира процеси и изпълнява команди от името на конкретни потребители със съответните привилегии.
Техническият анализ разкри: софтуерът обработва три команди от контролния сървър с интервал от 11 000 милисекунди между тях. По този начин заразените мрежи могат да бъдат наблюдавани възможно най-ефективно.
След като ToyMaker е получил първоначален достъп до системите на засегнатата компания и е откраднал идентификационните данни, се наблюдава затишие в дейността му за около три седмици. След това екипът на Talos открива, че групата CACTUS, занимаваща се с изнудване, е проникнала в корпоративната мрежа на същата организация, използвайки откраднатите идентификационни данни.
Характерът на действията на нападателя – кратък престой в системата и бързо прехвърляне на достъпа на колегите, без да се стига до мащабна кражба на файлове – говори за чисто финансова мотивация. В този случай не става въпрос за разузнавателни цели.
След като операторите на CACTUS получат достъпа, те провеждат собствено проучване на мрежата и подготвят плацдарм за дългосрочно присъствие. За да се утвърдят, те използват и различни легитимни инструменти: OpenSSH, AnyDesk и eHorus Agent.
Всичко важно от света на технологиите, директно в пощата ти.
С абонирането приемате нашите Условия и Политика за поверителност. Може да се отпишете с един клик по всяко време.
Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Google Новини, TikTok, Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iPhone, Huawei, Google Chrome, Microsoft Edge и Opera!
