52
كشف باحثو الأمن السيبراني في Cisco Talos عن تفاصيل جديدة حول نشاط وسيط الاختراق الأولي “ToyMaker” الذي يبيع الوصول لأنظمة مخترقة لعصابات الابتزاز المزدوج مثل CACTUS.
من هو ToyMaker؟
- وسيط اختراق أولي (IAB) مالي الدوافع
- يعمل على مسح الأنظمة الضعيفة
- يستخدم برمجية خبيثة مخصصة تسمى LAGTOY (أو HOLERUN)
- تم توثيقه أولاً بواسطة Mandiant مارس 2023
- معروف أيضاً بأسماء UNC961، Gold Melody، Prophet Spider
كيف يعمل ToyMaker؟
| المرحلة | التفاصيل |
| 1. الاستغلال الأولي | استغلال ثغرات في التطبيقات المتصلة بالإنترنت |
| 2. جمع المعلومات | تنفيذ عمليات استطلاع وجمع بيانات الاعتماد |
| 3. نشر البرمجيات الخبيثة | تحميل وتنفيذ LAGTOY خلال أسبوع واحد |
| 4. بيع الوصول | تسليم التحكم لعصابات الابتزاز مثل CACTUS |
تحليل برمجية LAGTOY الخبيثة
- تنشئ Reverse Shells وتنفذ أوامر على الأنظمة المصابة
- تتصل بخادم C2 ثابت لاستلام الأوامر
- تنفذ الأوامر بصلاحيات المستخدمين المحددين
- تستخدم فاصل زمني 11000 مللي ثانية بين الأوامر
تقنيات متقدمة تستخدمها المجموعة
أدوات الطب الشرعي
تحميل أداة Magnet RAM Capture عبر SSH لالتقاط صور ذاكرة النظام
الوصول طويل الأمد
استخدام OpenSSH، AnyDesk، eHorus Agent لضمان استمرارية الوصول
“بناءً على فترة المكوث القصيرة نسبياً وعدم سرقة البيانات مباشرة، من غير المرجح أن يكون لـ ToyMaker أي أهداف تجسسية”
– فريق Cisco Talos
