Istraživači iz oblasti sajber bezbjednosti su detaljno opisali aktivnosti ToyMaker-a koji je u sajber svijetu prepoznat kao Initial Access Broker (IAB) zbog uloge da provaljuje u ranjive sisteme (npr.firme i organizacije) i prodaje pristupne parametre drugim sajber kriminalcima ili kriminalnim grupama. Istraživači su utvrdili da IAB komprimituje sisteme i prodaje pristup ransomware grupama poput CACTUS.
ToyMaker koristi sopstveni malver pod nazivom LAGTOY poznat i pod nazivom HOLERUN, koji omogućava kreiranje Reverse Shell veza i izvršavanje komandi na kompromitovanim uređajima. Malver LAGTOY je prvi put dokumentovala firma Mandiant u martu 2023 godine koja ga povezuje sa prijetnjom poznatom kao UNC961 (takođe poznat kao Goldmelody ili Prophet spider).
Toymaker cilja poznate ranjivosti na internet-eksponiranim aplikacijama kako bi stekao inicijalni pristup nakon čega u roku od nedelju dana vrši izviđanje, krađu pristupnih podataka i instalaciju LAGTOY-a.
Napadači koriste SSH veze za preuzimanje forenzičkog alata Magnet RAM Capture, vjerovatno u cilju prikupljanja memorijskih dumpova i krađe korisničkih akreditiva.
LAGTOY komunicira sa unaprijed definisanim komandno-kontrolnim serverom (C2), izvršava komande, pokreće procese pod različitim korisničkim privilegijama i procesuira tri osnovne komande sa pauzom od 11 sekundi između.
Nakon perioda neaktivnosti od tri nedelje, istraživači iz Cisco Talos su primijetili da je grupa CACTUS koristila pristupe koje je ukrao ToyMaker kako bi sprovela ransomware napad.
U incidentu koji je analizirao Talos rečeno je da su afiliati CACTUS Ransomware-a sproveli izviđanje i aktivnosti uspostavljanja uporišta prije nego što su pristupili eksfiltraciji podataka i šifrovanju. Takođe su primijećene različite metode za uspostavljanje dugoročnog pristupa uključujući korišćenje OpenSSH, AnyDesc i eHorus Agenta.
ToyMaker je finansijski motivisan posrednik za početni pristup (IAB) koji stiče pristup visokovrednim organizacijama i zatim prenosi taj pristup sekundarnim prijetnjama koje obično unovčavaju pristup putem dvostruke iznude i sprovođenja Ransomware napada.
Kada su u pitanju osnovne mjere zaštite od napadača poput ovog redovan backup je imperativ i potrebno ga je držati dalje od glavne mreže. Takođe neophodno je redovno ažurirati softver i sisteme, jaka autentifikacija, antivirus i antimalver zaštita. Naprednije mjere za kompanije i ozbiljniju zaštitu mogu obuhvatiti segmentaciju mreže, detekciju i odgovor na sajber prijetnje, kontrolu pristupa, redovno testiranje sigurnosti i plan za odgovor na incidente.