Nel mondo della sicurezza informatica, i broker di accesso iniziale (IAB) giocano un ruolo cruciale, spesso in ombra. Uno di questi attori, noto come ToyMaker, è al centro di un'analisi dettagliata da parte dei ricercatori di Cisco Talos. ToyMaker è stato identificato come un attore di minaccia finanziariamente motivato, impegnato nella vendita di accessi ai gruppi di ransomware come CACTUS, noti per le loro operazioni di doppia estorsione.

Modus Operandi

Il modus operandi di ToyMaker inizia con la scansione di sistemi vulnerabili per poi distribuire un malware personalizzato chiamato LAGTOY, noto anche come HOLERUN. Questo malware è progettato per creare shell inverse ed eseguire comandi su endpoint infetti, permettendo un accesso intrusivo e silenzioso. Il malware è stato documentato per la prima volta da Mandiant nel 2023, attribuendolo a un gruppo di minacce identificato come UNC961, noto anche come Gold Melody o Prophet Spider.

Vulnerabilità e Accesso

ToyMaker utilizza una vasta gamma di vulnerabilità note nelle applicazioni esposte su internet per ottenere l'accesso iniziale. Una volta dentro, l'attore di minaccia esegue una serie di azioni di ricognizione e raccolta di credenziali, culminando nel dispiegamento di LAGTOY entro una settimana. Un aspetto peculiare del modus operandi di ToyMaker è l'uso di connessioni SSH verso un host remoto per scaricare uno strumento forense chiamato Magnet RAM Capture, utilizzato per ottenere una copia della memoria del sistema vittima, presumibilmente per estrarre credenziali.

Caratteristiche Tecniche del Malware

LAGTOY è progettato per contattare un server di comando e controllo (C2) predefinito per recuperare comandi da eseguire successivamente sull'endpoint. Questo malware ha la capacità di creare processi e eseguire comandi sotto utenti specificati con i relativi privilegi. Un altro dettaglio tecnico del malware è la capacità di processare tre comandi dal server C2 con un intervallo di sonno di 11000 millisecondi tra di essi.

Strategia di ToyMaker

Un elemento distintivo nella strategia di ToyMaker è l'assenza di motivazioni di spionaggio. Dopo un periodo di inattività di circa tre settimane, il gruppo di ransomware CACTUS è stato osservato entrare nell'impresa vittima utilizzando le credenziali sottratte da ToyMaker. Questo lascia intendere che ToyMaker si limiti a vendere accesso a gruppi secondari che poi monetizzano l'accesso attraverso estorsioni e distribuzione di ransomware.

Conclusione

In sintesi, ToyMaker si posiziona come un broker di accesso iniziale che sfrutta vulnerabilità note per ottenere accessi che poi rivende a gruppi più organizzati e specializzati nella monetizzazione. Questa tipologia di attacco sottolinea l'importanza della gestione delle vulnerabilità e della protezione delle credenziali per le organizzazioni di alto valore.