ToyMaker: وسيط وصول أولي يستخدم LAGTOY لتمكين عصابات فدية CACTUS من تنفيذ هجمات الابتزاز المزدوج

ToyMaker: وسيط وصول أولي يستخدم LAGTOY لتمكين عصابات فدية CACTUS من تنفيذ هجمات الابتزاز المزدوج
ToyMaker: وسيط وصول أولي يستخدم LAGTOY لتمكين عصابات فدية CACTUS من تنفيذ هجمات الابتزاز المزدوج
شارك هذا الخبر

كشف باحثون في مجال الأمن السيبراني عن أنشطة وسيط الوصول الأولي (IAB) المعروف باسم ToyMaker، الذي لوحظ تورطه في تسهيل وصول عصابات برامج الفدية مثل CACTUS إلى الشبكات المستهدفة، بهدف تنفيذ هجمات الابتزاز المزدوج.

وفقًا لفريق بحثي من Cisco Talos يضم جوي تشين وأشير مالوترا وآشلي شين وفيتور فينتورا وبراندون وايت، فإن ToyMaker يُعتقد بدرجة ثقة متوسطة أنه جهة تهديد مدفوعة بالربح المالي، يقوم بمسح الأنظمة الضعيفة على الإنترنت ونشر برمجية خبيثة مخصصة تعرف باسم LAGTOY (المعروفة أيضًا باسم HOLERUN).

خصائص برمجية LAGTOY الخبيثة

تمتاز برمجية LAGTOY بقدرتها على إنشاء قشور عكسية (Reverse Shells) وتنفيذ أوامر على الأنظمة المصابة، مما يتيح للمهاجمين التحكم الكامل بالأجهزة المستهدفة عن بُعد.
وكانت شركة Mandiant التابعة لجوجل قد وثقت هذه البرمجية لأول مرة في مارس 2023، وربطتها بمجموعة تهديد تُعرف باسم UNC961، التي تُعرف أيضًا بأسماء أخرى مثل Gold Melody وProphet Spider.

تستخدم هذه المجموعة ترسانة واسعة من الثغرات الأمنية المعروفة في التطبيقات التي تواجه الإنترنت للوصول الأولي، ثم تقوم بعمليات استطلاع داخل الشبكة، وسرقة بيانات الاعتماد (Credentials)، ونشر LAGTOY خلال فترة لا تتجاوز أسبوعًا.

أساليب متقدمة لجمع بيانات الضحايا

لاحظ الباحثون أن المهاجمين يفتحون أيضًا اتصالات عبر بروتوكول SSH إلى خوادم خارجية لتحميل أداة جنائية تُدعى Magnet RAM Capture بهدف الحصول على تفريغ لذاكرة الجهاز، وهو أسلوب يُرجح أنه يُستخدم لسرقة بيانات اعتماد الدخول.

وتبين أن LAGTOY مصممة للتواصل مع خادم C2 محدد سلفًا، لاستقبال وتنفيذ أوامر على الأجهزة المصابة، بما في ذلك إنشاء عمليات جديدة وتشغيل أوامر تحت امتيازات مستخدمين معينين.

كما تتميز البرمجية بوجود وظيفة “Sleep” زمنية (تأخير بين الأوامر) تبلغ 11000 ملي ثانية بين كل عملية تنفيذ.

علاقة ToyMaker بعصابة CACTUS

بعد فترة خمول استمرت حوالي ثلاثة أسابيع، رصد باحثو Talos أن عصابة الفدية CACTUS استطاعت التسلل إلى مؤسسة ضحية باستخدام بيانات اعتماد مسروقة عبر عمليات ToyMaker.
وخلص الباحثون إلى أن ToyMaker لا يبدو أن لديه أهداف تجسس أو نوايا أيديولوجية، بل ينحصر هدفه في تحقيق مكاسب مالية من خلال بيع الوصول لعصابات الفدية.

في هذه الحادثة التي تم تحليلها، نفذت مجموعة CACTUS عمليات استطلاع إضافية لتعزيز وجودها في الشبكة، إضافة إلى إنشاء وصول دائم باستخدام أدوات مثل OpenSSH، وبرنامج التحكم عن بُعد AnyDesk، وأداة eHorus Agent.

ToyMaker: دور الوسيط في الهجمات السيبرانية الحديثة

أوضح تقرير Talos أن ToyMaker هو مثال واضح على وسيط الوصول الأولي المدفوع ماليًا، حيث يحصل على وصول غير مشروع إلى مؤسسات عالية القيمة ثم يبيع هذا الوصول لجهات تهديد أخرى تستخدمه في تنفيذ هجمات الابتزاز المزدوج أو نشر برمجيات الفدية.

الابتزاز المزدوج

تعتمد هجمات الابتزاز المزدوج على استراتيجية خبيثة تتمثل في:

  • سرقة البيانات الحساسة أولًا.

  • تشفير أنظمة المؤسسة ثانيًا.

  • ابتزاز الضحية مرتين: مرة لدفع الفدية مقابل مفتاح فك التشفير، ومرة أخرى لعدم تسريب البيانات المسروقة علنًا.

وسوم
محمد وهبى
محمد وهبى
المقالات: 164

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة