ToyMaker, брокер первоначального доступа, работающий в сговоре с бандами двойных вымогателей

LAGTOY затем использовался для создания обратных оболочек и выполнения команд на зараженных устройствах. После примерно трехнедельного затишья банда двойного вымогательства Cactus использовала украденные учетные данные ToyMaker для проникновения в сеть жертвы и осуществления вредоносных действий.

ToyMaker провел предварительную разведку и установил свой бэкдор в течение недели, но не предпринимал дальнейших действий. В то время как ToyMaker был финансово мотивированным и не преследовал шпионские цели, Cactus был группой двойного вымогательства, которая распространяла выкупное ПО и использующая различные тактики и процедуры.

ToyMaker использовал LAGTOY, пользовательское семейство вредоносных программ, чтобы проникнуть в среду организации через уязвимые серверы, выходящие в Интернет. После проникновения, ToyMaker проводил разведку и создавал фальшивые учетные записи, а затем запускал SSH-приемник на зараженной конечной точке. Затем он соединялся с удаленным узлом для загрузки исполняемого файла Magnet RAM Capture, который использовался для извлечения учетных данных.

IPv4

• 103.199.16.92
• 149.102.243.100
• 158.247.211.51
• 162.33.177.56
• 162.33.178.196
• 178.175.134.52
• 194.156.98.155
• 195.123.240.2
• 206.188.196.20
• 209.141.43.37
• 39.106.141.68
• 47.117.165.166
• 51.81.42.234
• 64.52.80.252
• 75.127.0.235

SHA256

• 0a367cc7e7e297248fad57e27f83316b7606788db9468f59031fed811cfe4867
• 0bcfea4983cfc2a55a8ac339384ecd0988a470af444ea8f3b597d5fe5f6067fb
• 5831b09c93f305e7d0a49d4936478fac3890b97e065141f82cda9a0d75b1066d
• 691cc4a12fbada29d093e57bd02ca372bc10968b706c95370daeee43054f06e3
• 70077fde6c5fc5e4d607c75ff5312cc2fdf61ea08cae75f162d30fa7475880de
• a95930ff02a0d13e4dbe603a33175dc73c0286cd53ae4a141baf99ae664f4132
• c1bd624e83382668939535d47082c0a6de1981ef2194bb4272b62ecc7be1ff6b
• fdf977f0c20e7f42dd620db42d20c561208f85684d3c9efd12499a3549be3826