Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Сложные кибератаки: Сотрудничество ToyMaker и Cactus

2 мин
В 2023 году исследователи компании Cisco Talos выявили масштабную кибератаку, затронувшую предприятие с критически важной инфраструктурой. Уникальный случай стал результатом слаженной работы нескольких хакеров, включая брокера начального доступа (IAB), известного как ToyMaker, и группу программ-вымогателей Cactus. Брокер ToyMaker смог получить доступ к системам за счет эксплуатации известных уязвимостей в интернете. В этом контексте был использован специальный бэкдор, получивший название LAGTOY. Этот инструмент обеспечивает выполнение команд и извлечение учетных данных из скомпрометированных систем. После того как Cactus взяла на себя управление, они начали свою разведку, используя украденные учетные данные для дальнейшего проникновения в сеть. Их стратегии включали: Cactus также провела масштабное сканирование сети, создавая несанкционированные учетные записи для расширения доступа и увеличения возможностей для вымогательства. Они применяли версии распространенных приложений с примене
Оглавление

В 2023 году исследователи компании Cisco Talos выявили масштабную кибератаку, затронувшую предприятие с критически важной инфраструктурой. Уникальный случай стал результатом слаженной работы нескольких хакеров, включая брокера начального доступа (IAB), известного как ToyMaker, и группу программ-вымогателей Cactus.

Методы атаки и использование уязвимостей

Брокер ToyMaker смог получить доступ к системам за счет эксплуатации известных уязвимостей в интернете. В этом контексте был использован специальный бэкдор, получивший название LAGTOY. Этот инструмент обеспечивает выполнение команд и извлечение учетных данных из скомпрометированных систем.

  • Создание обратной оболочки: LAGTOY использует компоненты пакета OpenSSH.
  • Установленный SSH-слушатель: Развёртывание серверного модуля SFTP позволяет загружать и запускать дополнительные инструменты.
  • Конфиденциальные данные: Для их извлечения используется исполняемый файл Magnet RAM Capture.
  • Устойчивость: LAGTOY сохраняется в виде службы с жёстко запрограммированными данными о сервере управления (C2).
  • Обмен данными: Использует необработанные сокеты на порту 443 вместо шифрования TLS.

Действия группы Cactus

После того как Cactus взяла на себя управление, они начали свою разведку, используя украденные учетные данные для дальнейшего проникновения в сеть. Их стратегии включали:

  • Использование удалённых инструментов администрирования, таких как eHorus Agent, AnyDesk и Metasploit.
  • Проведение запланированных задач для поддержания постоянного доступа к системам.
  • Использование WinSCP для передачи файлов и развертывание вредоносных двоичных файлов.

Cactus также провела масштабное сканирование сети, создавая несанкционированные учетные записи для расширения доступа и увеличения возможностей для вымогательства. Они применяли версии распространенных приложений с применением шеллкода для выполнения вредоносного кода и установления надежной связи с серверами C2.

Итоги и выводы

Эта сложная сеть атак отражает растущую сложность хакерских операций, что требует пересмотра подходов в моделировании угроз. Результаты исследования подчеркивают критическую важность упреждающего управления уязвимостями и мониторинга показателей, указывающих на присутствие скоординированных и изощрённых хакеров.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Сложные кибератаки: Сотрудничество ToyMaker и Cactus".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются