ToyMaker
A Cisco Talos jelentése szerint egy új, ToyMaker néven ismert Initial Access Broker (IAB) jelentős fenyegetést jelent a kritikus infrastruktúrák számára. A ToyMaker pénzügyi motivációjú támadó, aki sebezhető, internetre csatlakozó rendszerek kihasználásával szerzi meg a hozzáférést, majd azt továbbadja más, például zsarolóprogramokat alkalmazó csoportoknak, mint a Cactus.
A ToyMaker által használt egyedi hátsó ajtó, a LAGTOY, lehetővé teszi a támadók számára, hogy visszacsatolásokat hozzanak létre és parancsokat hajtsanak végre a fertőzött rendszereken. A LAGTOY telepítése után a ToyMaker általában három hétig inaktív marad, majd a hozzáférést átadja más csoportoknak, akik adatokat gyűjtenek, távoli hozzáférési eszközöket telepítenek, és zsarolóprogramokat alkalmaznak a hálózatban.
A ToyMaker tevékenysége során olyan eszközöket használ, mint a Magnet RAM Capture a hitelesítő adatok kinyerésére, valamint a PuTTY SCP-t az adatok exfiltrációjára. A LAGTOY implantátumot szolgáltatásként telepítik, és időalapú logikát alkalmaz a parancsok végrehajtására, valamint alapvető anti-debugging technikákat is tartalmaz.
A Cisco Talos megfigyelései alapján a ToyMaker nem végez adatlopást vagy további felfedezést, ami arra utal, hogy nem kémkedési célú tevékenységet folytat, hanem pénzügyi haszonszerzésre törekszik a hozzáférések értékesítésével. A jelentés hangsúlyozza a kezdeti hozzáférést biztosító brókerek és a zsarolóprogramokat alkalmazó csoportok közötti együttműködés veszélyét, valamint a kritikus infrastruktúrák védelmének fontosságát.
