Peneliti keamanan siber telah merinci kegiatan broker akses awal (IAB) yang dijuluki Pembuat mainan Itu telah diamati menyerahkan akses ke geng ransomware pemerasan ganda seperti kaktus.
IAB telah dinilai dengan kepercayaan sedang untuk menjadi aktor ancaman yang termotivasi secara finansial, memindai sistem yang rentan dan menggunakan malware khusus yang disebut Lagtoy (alias Holerun).
“Lagtoy dapat digunakan untuk membuat cangkang terbalik dan melaksanakan perintah pada titik akhir yang terinfeksi,” peneliti Cisco Talos Joey Chen, Asheer Malhotra, Ashley Shen, Vitor Ventura, dan Brandon White mengatakan.
Malware ini pertama kali didokumentasikan oleh Google yang dimiliki Mandiant pada akhir Maret 2023, mengaitkan penggunaannya dengan aktor ancaman yang dilacaknya sebagai UNC961. Cluster aktivitas juga dikenal dengan nama lain seperti melodi emas dan nabi laba -laba.
Aktor ancaman telah diamati memanfaatkan gudang besar kelemahan keamanan yang diketahui dalam aplikasi yang menghadap internet untuk mendapatkan akses awal, diikuti dengan melakukan pengintaian, pemanenan kredensial, dan penyebaran lagtoy dalam rentang waktu seminggu.
Para penyerang juga membuka koneksi SSH ke host jarak jauh untuk mengunduh alat forensik yang disebut Magnet Ram Capture untuk mendapatkan dump memori mesin dalam upaya yang mungkin untuk mengumpulkan kredensial korban.
Lagtoy dirancang untuk menghubungi server perintah-dan-kontrol (C2) yang dikodekan untuk mengambil perintah untuk eksekusi berikutnya pada titik akhir. Ini dapat digunakan untuk membuat proses dan menjalankan perintah di bawah pengguna tertentu dengan hak istimewa yang sesuai, per mandiant.
Malware juga dilengkapi untuk memproses tiga perintah dari server C2 dengan interval tidur 11000 milidetik di antara mereka.
“Setelah jeda dalam aktivitas sekitar tiga minggu, kami mengamati kelompok ransomware kaktus masuk ke perusahaan korban menggunakan kredensial yang dicuri oleh pembuat toy,” kata Talos.
“Berdasarkan waktu tinggal yang relatif singkat, kurangnya pencurian data dan penyerahan selanjutnya untuk Cactus, tidak mungkin Toymaker memiliki ambisi atau tujuan yang dimotivasi spionase.”
Dalam insiden yang dianalisis oleh Talos, afiliasi kaktus ransomware dikatakan telah melakukan pengintaian dan kegiatan kegigihan mereka sendiri sebelum exfiltrasi dan enkripsi data. Juga diamati adalah beberapa metode untuk mengatur akses jangka panjang menggunakan OpenSSH, AnyDesk, dan Ehorus Agent.
“Toymaker adalah broker akses awal yang termotivasi secara finansial (IAB) yang memperoleh akses ke organisasi bernilai tinggi dan kemudian mentransfer akses ke aktor ancaman sekunder yang biasanya memonetisasi akses melalui pemerasan ganda dan penempatan ransomware,” kata perusahaan itu.
