В 2023 году Cisco Talos обнаружила широкомасштабную компрометацию критической инфраструктурной организации, в ходе которой было обнаружено наличие нескольких угроз. Используя различные инструменты удаленного администрирования, SSH и двухстороннюю передачу файлов, эти угрозы медленно и последовательно взламывали множество узлов в сети организации.
Описание
Главный брокер первоначального доступа, известный как "ToyMaker", обычно использует уязвимости систем, находящихся в сети Интернет, чтобы установить свой собственный бэкдор, который называется "LAGTOY", и украсть учетные данные. После этого доступ передается другой угрозе, названной "Cactus", которая занимается двойным вымогательством и распространением вредоносных программ по сети.
Исследование позволило построить хронологию событий от первоначальной компрометации до передачи доступа и последующей активности. ToyMaker проводит предварительную разведку, устанавливает бэкдор LAGTOY и извлекает учетные данные в течение недели, после чего прекращает активность. После примерно трехнедельного периода молчания, угроза Cactus проникает на организацию-жертву, используя украденные ToyMaker учетные данные.
Cisco Talos прослеживает связь между ToyMaker и Cactus и предполагает, что ToyMaker является финансово мотивированным брокером первоначального доступа, который передает доступ к ценной информации вторичным угрозам, которые затем монетизируют его путем вымогательства и инфицирования выкупным ПО.
ToyMaker использует свою собственную вредоносную программу, так называемый LAGTOY, чтобы установить свой бэкдор в среде организации. Успех компрометации зачастую связан с использованием известной уязвимости в серверах, подключенных к Интернету. В ходе компрометации ToyMaker осуществляет разведку, создает фальшивую учетную запись пользователя и запускает SSH-приемник на конечной точке. Затем конечная точка соединяется с удаленным узлом для извлечения учетных данных с использованием инструмента Magnet RAM Capture.
Индикаторы компрометации
IPv4
- 103.199.16.92
- 149.102.243.100
- 158.247.211.51
- 162.33.177.56
- 162.33.178.196
- 178.175.134.52
- 194.156.98.155
- 195.123.240.2
- 206.188.196.20
- 209.141.43.37
- 39.106.141.68
- 47.117.165.166
- 51.81.42.234
- 64.52.80.252
- 75.127.0.235
SHA256
- 0a367cc7e7e297248fad57e27f83316b7606788db9468f59031fed811cfe4867
- 0bcfea4983cfc2a55a8ac339384ecd0988a470af444ea8f3b597d5fe5f6067fb
- 5831b09c93f305e7d0a49d4936478fac3890b97e065141f82cda9a0d75b1066d
- 691cc4a12fbada29d093e57bd02ca372bc10968b706c95370daeee43054f06e3
- 70077fde6c5fc5e4d607c75ff5312cc2fdf61ea08cae75f162d30fa7475880de
- a95930ff02a0d13e4dbe603a33175dc73c0286cd53ae4a141baf99ae664f4132
- c1bd624e83382668939535d47082c0a6de1981ef2194bb4272b62ecc7be1ff6b
- fdf977f0c20e7f42dd620db42d20c561208f85684d3c9efd12499a3549be3826
