Siber güvenlik araştırmacıları Oyuncak Bu, kaktüs gibi çift gasp fidye yazılımı çetelerine erişimin teslim edilmesi gözlemlenmiştir.
IAB, finansal olarak motive olmuş bir tehdit oyuncusu olmak, savunmasız sistemleri taramak ve Lagtoy (diğer adıyla Hollerun) adlı özel bir kötü amaçlı yazılım dağıtmak için orta güvenle değerlendirilmiştir.
Cisco Talos araştırmacıları Joey Chen, Asheer Malhotra, Ashley Shen, Vitor Ventura ve Brandon White, “Lagtoy, ters mermiler oluşturmak ve enfekte son noktalarda komutlar yürütmek için kullanılabilir.” Dedi.
Kötü amaçlı yazılım ilk olarak Google’ın sahip olduğu Mandiant tarafından Mart 2023’ün sonlarında, kullanımını UNC961 olarak izlediği bir tehdit aktörüne bağlayarak belgelendi. Etkinlik kümesi, Gold Melody ve Peygamber Örümcek gibi diğer isimlerle de bilinir.
Tehdit oyuncusu, başlangıç erişimini elde etmek için internete bakan uygulamalarda bilinen güvenlik kusurlarının büyük bir cephaneliğinden yararlandığı, ardından keşif, kimlik bilgisi hasat ve Lagtoy dağıtımını bir hafta içinde gerçekleştirdi.
Saldırganlar ayrıca kurbanın kimlik bilgilerini toplamak için olası bir girişimde makinenin bir bellek dökümü elde etmek için Magnet Ram Capture adlı bir adli tıp aracı indirmek için uzak bir ana bilgisayara SSH bağlantıları açar.
Lagtoy, uç noktada sonraki yürütme için komutları almak için sabit kodlu bir komut ve kontrol (C2) sunucusuna başvuracak şekilde tasarlanmıştır. Maniant’a göre, ilgili ayrıcalıklara sahip belirtilen kullanıcılar altında işlemler oluşturmak ve komutları çalıştırmak için kullanılabilir.
Kötü amaçlı yazılım ayrıca, aralarında 11000 milisaniye uyku aralığı olan C2 sunucusundan üç komutu işlemek için donanımlıdır.
Talos, “Yaklaşık üç haftalık bir faaliyette durduktan sonra, kaktüs fidye yazılım grubunun Toyer tarafından çalınan kimlik bilgilerini kullanarak kurban işletmesine girdiğini gözlemledik.” Dedi.
Diyerek şöyle devam etti: “Nispeten kısa bekleme süresine, veri hırsızlığı eksikliğine ve daha sonraki kaktüs devreye alınmasına dayanarak, Toyer’ın casuslukla motive olmuş hırslara veya hedeflere sahip olması pek olası değildir.”
Talos tarafından analiz edilen olayda, kaktüs fidye yazılımı iştiraklerinin veri pespiltrasyonu ve şifreleme öncesinde kendi keşif ve kalıcılık faaliyetleri yürüttüğü söylenir. Ayrıca OpenSsh, Anydesk ve Ehorus ajanını kullanarak uzun vadeli erişim ayarlamak için birden fazla yöntem de gözlenmiştir.
Şirket, “Toyer, yüksek değerli kuruluşlara erişim sağlayan ve daha sonra genellikle çift gasp ve fidye yazılımı dağıtım yoluyla erişimi para kazanan ikincil tehdit aktörlerine erişim sağlayan finansal olarak motive edilmiş bir başlangıç erişim brokeri (IAB).” Dedi.