ToyMakerアクティビティ検出：初期アクセスのブローカーがSSHとファイル転送ユーティリティを介して重要インフラ組織のホストを侵害

近年、サイバー攻撃の急増は、拡大する 初期アクセスブローカー (IABs) が侵入されたネットワークへのアクセスを売買することで活発化しています。2023年、セキュリティ研究者たちは、非常に高度な脅威グループ「ToyMaker」が主導する大規模なインフラ組織を狙った広範な侵害を明らかにしました。「ToyMaker」はIABとして活動していました。ハッカーは、インターネットにさらされたシステムを利用して侵入し、それからLAGTOYのようなカスタムバックドアを展開して、侵入された組織の資格情報を取得し、ダブルエクストーショングループと密かに連携します。

ToyMaker攻撃の検出

初期アクセスブローカー(IABs)は、サイバー犯罪エコシステムにおいて重要な役割を果たしており、組織に侵入してアクセスを他の悪意のある者に販売する仲介者として活動しています。これにより、しばしばランサムウェア攻撃に繋がります。昨年、ハッカーフォーラムでのIABの販売数は 23%上昇 し、これもまたランサムウェアの被害者の増加と相関しています。観測されたToyMakerの活動は、この傾向をさらにはっきりと示し、IABsが大規模サイバー攻撃を促進する役割を増大させていることを強調しています。

SOC Primeプラットフォームに登録 し、ToyMakerのTTPsに対応する関連するSigmaルールと共に、AI駆動の検出エンジニアリング、自動化された脅威の追跡、高度な脅威の検出のための完璧な製品スイートにアクセスします。「 探索の検知 」ボタンを押して、キュレーションされた検出スタックにすぐにアクセスします。

探索の検知

すべてのルールは、主要なSIEM、EDR、データレイクソリューションと互換性があり、 MITRE ATT&CK®に合わせて調整され、 CTI リンク、攻撃の時間軸、トリアージのヒントなどのメタデータで充実しています。

さらに、セキュリティ専門家は最新のCiscoのToyMakerに関する研究からIOCを検索できます。 Uncoder AIを使用すると、これらのIOCを簡単に解析し、選択したSIEMまたはEDRプラットフォーム向けにカスタムクエリに変換できます。Uncoder AIはまた、脅威に基づいた検出エンジニアリングのための非エージェントプライベートAIとして機能し、チームに高度なツールを提供して研究、コーディング、検証、翻訳、展開検出を即座に実施することを可能にします。

ToyMaker活動分析

2023年、 Cisco Talosは 一連の脅威アクターを含む重要なインフラ企業での大規模な妥協を発見しました。初期アクセスからダブルエクストーションまで、これらのアクターはゆっくりと着実にネットワーク内のいくつかのホストを侵害しました。彼らの攻撃能力は、侵入したネットワークへの長期アクセスを保証するために、SSHファイル転送ツールと多目的のリモート管理ユーティリティを組み合わせて使用することに依存していました。攻撃の背後にいたIABアクターである“ToyMaker”は、金融的動機を持つグループと考えられており、価値の高いターゲットに侵入し、そのアクセスを二次的な脅威グループに販売します。これらのグループは通常、 ランサムウェア 攻撃のためにそれを利用します。

最初の侵害の後、ToyMakerは偵察を行い、資格情報を盗んで独自のバックドア、LAGTOYを展開しました。これにより、二次的な脅威アクターへのアクセス移行が引き起こされた可能性があります。具体的には、約3週間後に、 Cactusランサムウェア アクターがその収集された資格情報を使用してネットワークにアクセスするのが観測されました。グループのTTPは異なるものの、タイムラインはToyMakerとCactusの間の明確な引き継ぎを示唆しており、両方の脅威を別々に追跡しながらその接続を認識する必要があります。

その後、攻撃者はWindows OpenSSHを使用してエンドポイントでSSHリスナーを開始しました。別の感染したホストが接続し、“sftp-server.exe” (OpenSSHのSFTPモジュール)を作成し、Magnet RAM Captureツールをダウンロードします。同じ接続を使用して、攻撃者はさらにカスタムリバースシェルインプラント「LAGTOY」をダウンロードして実行します。マルウェアはリバースシェルを作成し、感染したエンドポイントでコマンドを実行するために使用されます。ToyMakerの定番バックドアであるLAGTOYは、ハードコードされたC2サーバーに定期的に接続し、コマンドを受信、実行します。サービスとしてインストールされており、カスタムの未処理例外フィルターを登録する基本的なアンチデバッグ機能を含んでおり、デバッガーの下で実行されているかどうかを検出するのに役立ち、アンチマルウェア分析を防ぎます。

Cactusはさらに、eHorus Agent (Pandora RC)、 AnyDesk、RMSリモート管理、およびWindowsのOpenSSHを含むさまざまなリモート管理ツールを展開することで長期間のアクセスを維持しました。これらのツールは、PowerShellとImpacketを使用して攻撃者が制御するサーバーからダウンロードされました。

別のケースでは、攻撃者はOpenSSHを使用してリバースシェルを作成し、C2サーバーに毎時接続してコマンドを実行するスケジュールされたタスクを設定しました。一部のマシンでは、未承認のユーザーアカウントを追加し、ランサムウェア展開を補助する可能性がありました。Cactusはまた、PuTTYやApacheBenchといったWindowsバイナリをMetasploit注入版として使用して、侵害されたシステムでコードを実行することに大きく依存しています。

IABによって指導されたとされるサイバー攻撃の増加とダブルエクストーションやランサムウェアギャングとの協力が含まれるキャンペーンの洗練化が進むのにつれて、組織は侵入のリスクを減少させる効果的な方法を探しています。SOC Primeは、AI、オートメーション、リアルタイムの脅威インテリジェンスを用いたテクノロジーの融合によって推進されるサイバー脅威を乗り越えるための 完全な製品スイート を提供します。