ToyMaker kimdir? CACTUS ransomware ile bağlantısı nedir? LAGTOY zararlısı ne yapar? ToyMaker’ın saldırı yöntemleri nelerdir?
ToyMaker kimdir?
ToyMaker, siber güvenlik araştırmacıları tarafından tanımlanan bir ilk erişim aracısı (IAB) olarak kabul edilmektedir. Bu karakter, kurban sistemlere erişim sağlama ve bu erişimi CACTUS gibi çift fidye yazılımı çetelerine aktarma konusunda uzmanlaşmıştır. ToyMaker, finansal motivasyona sahip bir tehdit aktörü olarak değerlendirilmektedir ve zayıf sistemleri tarayarak onları hedef almaktadır.
CACTUS ransomware ile bağlantısı nedir?
CACTUS, ToyMaker’ın erişim sağladığı çift fidye yazılımı gruplarından biridir. Araştırmalar, ToyMaker’ın, CACTUS çetelerinin bir kurban organizasyona sızmak için kullandığı verileri çalan bir aktör olduğunu ortaya koymaktadır. ToyMaker’ın erişim sağladığı sistemler, CACTUS tarafından daha sonra veri sızdırma ve şifreleme işlemlerine tabi tutulmaktadır.
LAGTOY zararlısı ne yapar?
LAGTOY, ToyMaker’ın kullandığı özel bir zararlı yazılımdır. Bu yazılım, hedef cihazlarda ters bağlantılar (reverse shells) oluşturmakta ve komutlar çalıştırmaktadır. Cisco Talos araştırmacıları tarafından yapılan açıklamalara göre, LAGTOY başlangıçta sistemlere erişim sağladıktan sonra, hedef sistemde çeşitli işlemler gerçekleştirmek üzere kullanılır.
ToyMaker’ın saldırı yöntemleri nelerdir?
ToyMaker, internet üzerinden erişilebilir uygulamalarda bilinen güvenlik açıklarını kullanarak başlangıç erişimi elde etmektedir. Elde edilen erişim ile, ToyMaker’ın hedefi üzerinde keşif yapması, kimlik bilgilerini toplaması ve LAGTOY zararlısını yayması bir hafta içinde gerçekleşmektedir. Saldırganlar, ayrıca uzaktan erişim sağlamak için SSH bağlantıları açmakta ve kurbanın hafıza dökümünü almak için Magnet RAM Capture adında bir adli bilişim aracını kullanmaktadır.
ToyMaker’ın kullanımı sırasında, LAGTOY, tanımlanmış komutları almak için sabit kodlanmış bir komut ve kontrol (C2) sunucusuyla iletişim kurmaktadır. Ayrıca, C2 sunucusundan gelen komutları belirli ayrıcalıklarla çalıştırmakta ve komutların işlenmesi için belirli bir süre aralığı bırakmaktadır.
Yapılan bu işlemler sonucunda, CACTUS ransomware grubu ToyMaker’ın hedef sistemlerine erişim sağlama sürecine giriş yapmaktadır. Talos, bu süreçte ToyMaker’ın veri hırsızlığı gibi espionaj amaçları taşımadığını, aksine yalnızca finansal kazanç elde hedefiyle hareket ettiğini belirtmektedir.
ToyMaker, yüksek değerli organizasyonlara erişim sağlayarak, bu erişimi ikincil tehdit aktörlerine devretmekte ve bu gruplar genellikle bu erişimi çift fidye yazılımı dağıtımı ile monetize etmektedir. Tüm bu süreç, ToyMaker’ın siber suçlular için öncelikli bir erişim sağlayıcısı olarak nasıl çalıştığını ve siber güvenlik dünyasında ne derece tehlikeli olabileceğini göstermektedir.
