A Cisco Talos recentemente expôs uma ameaça emergente no universo do crime cibernético, identificando o corretor de acesso inicial batizado como ToyMaker.
Esta entidade é especializada na venda de sistemas comprometidos para operadores de ransomware, com foco particular no grupo conhecido por CACTUS.
Um destaque na atuação do ToyMaker é a utilização do malware LAGTOY, alternativamente nominado HOLERUN.
Essa ferramenta maliciosa é empregada para gerar shells reversos e executar comandos nos dispositivos que foram invadidos.
De acordo com informações da Mandiant, a presença do ToyMaker foi primeiramente notada em março de 2023, sendo o grupo ligado a UNC961, também referido como Gold Melody ou Prophet Spider.
As técnicas de ataque do ToyMaker incluem a exploração de várias vulnerabilidades já conhecidas em aplicações disponíveis online.
Após conseguir acessar inicialmente o sistema da vítima, o invasor realiza um reconhecimento da infraestrutura, coleta credenciais e procede com a implantação do LAGTOY em um intervalo que pode chegar a uma semana.
Além disso, o ToyMaker emprega o Magnet RAM Capture, adquirido por meio de SSH, para extrair informações confidenciais diretamente da memória RAM dos dispositivos afetados.
O malware LAGTOY mantém comunicação com servidores de comando e controle já definidos, executando três comandos diferentes a cada 11 segundos.
Essa funcionalidade assegura que o atacante possua um controle contínuo e efetivo sobre as redes comprometidas.
Após completar a coleta de credenciais, o ToyMaker se retira do ambiente comprometido.
Cerca de três semanas mais tarde, operadores vinculados ao CACTUS fazem uso das informações adquiridas para penetrar na rede corporativa da vítima.
Isso sugere que o principal interesse do corretor seja de natureza financeira.
Uma vez dentro da rede, o CACTUS amplia seu acesso empregando ferramentas legítimas, como OpenSSH, AnyDesk e eHorus Agent, configurando o cenário para futuros ataques de ransomware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...