ToyMaker 활동 탐지: 초기 접근 브로커가 SSH 및 파일 전송 유틸리티를 통해 중요한 인프라 조직의 호스트를 손상시킴

최근 몇 년 동안 사이버 공격의 급증은 확산에 의해 촉진되었습니다 Initial Access Broker (IABs) 는 침해된 네트워크에 대한 접근을 거래합니다. 2023년에 보안 연구원들은 고도로 발전된 위협 그룹인 ‘ToyMaker’라는 IAB로 운영된 단체가 조직한 중요한 인프라 조직을 목표로 한 광범위한 침해를 밝혀냈습니다. 해커들은 노출된 인터넷을 통해 진입한 후, LAGTOY와 같은 맞춤형 백도어를 배포하여 침해된 조직으로부터 자격 증명을 수집하고, 이중 갈취 그룹과 비밀리에 제휴합니다.

ToyMaker 공격 탐지

Initial Access Broker (IABs)는 사이버 범죄 생태계에서 중추적인 역할을 하고 있으며, 조직에 침투하여 다른 악의적인 행위자에게 접근을 판매합니다. 이때문에 종종 랜섬웨어 공격으로 이어집니다. 작년 해커 포럼에서의 IAB 판매량은 23% 증가 했으며, 이는 2023년과도 비교됩니다. 이는 랜섬웨어 피해자가 상당히 증가했음을 시사합니다. 관찰된 ToyMaker 활동은 이러한 추세를 더욱 증명하며, IAB가 대규모 사이버 공격을 촉진하는 데 점점 더 큰 역할을 하고 있음을 강조합니다.

SOC Prime 플랫폼에 가입하세요 ToyMaker TTP를 해결하는 관련된 Sigma 규칙 세트와 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 고급 위협 탐지를 위한 완전한 제품군에 액세스하세요. 버튼을 눌러 탐지 탐색 을 즉시 시작하고, 맞춤형 탐지 스택에 심화적으로 접속하세요.

탐지 탐색

모든 규칙은 주요 SIEM, EDR, 데이터 레이크 솔루션과 호환되고 MITRE ATT&CK®과 일치하며, 메타데이터로 CTI 링크, 공격 타임라인, 대응 요령 등이 풍부합니다.

추가로 보안 전문가들은 최신 Cisco 연구로부터의 ToyMaker IOC를 사냥할 수 있습니다. Uncoder AI를 사용하여 보안 전문가들은 이러한 IOC를 손쉽게 구문 분석하여 선택한 SIEM 또는 EDR 플랫폼에 맞춤형 쿼리로 변환할 수 있습니다. 또한 Uncoder AI는 비대리적 개인 AI로서 위협 정보 탐지 엔지니어링에 힘을 실어주어 팀이 탐색, 코드 작성, 검증, 번역, 탐지 배포를 실시간으로 할 수 있도록 합니다.

ToyMaker 활동 분석

2023년에 Cisco Talos는 여러 위협 행위자 조합으로 구성된 중요한 인프라 기업의 광범위한 침해를 발견했습니다. 처음 접근부터 이중 갈취까지 이들의 행위자들은 천천히, 그리고 꾸준히 네트워크의 여러 호스트를 침해했습니다. 이들의 공격능력은 SSH 파일 전송 도구와 이중용 원격 관리 유틸리티의 조정된 사용에 의존하여 침해된 네트워크에 대한 장기적 접근을 보장했습니다. 이 공격을 주도한 ‘ToyMaker’라는 IAB 행위자들은 금융적 동기로 고가치 목표에 접근한 후, 이 접근을 2차 위협 그룹에 판매하는 것으로 간주됩니다. 이들은 일반적으로 이를 이중 갈취와 랜섬웨어 공격에 악용합니다.

초기 침해 후, ToyMaker는 정찰을 수행하고 자격 증명을 훔치며, 맞춤형 백도어인 LAGTOY를 배포했습니다. 이는 2차 위협 행위자에게 접근이 넘겨지면서 타협이 발생했을 수 있습니다. 더 구체적으로는 약 3주 후, Cactus 랜섬웨어 행위자들이 수집된 자격 증명을 사용하여 네트워크에 접속하는 것이 관찰되었습니다. 그룹의 TTP는 다르지만, 타임라인은 ToyMaker와 Cactus 간의 명백한 양도를 시사하여 두 위협을 별도로 추적하는 동시에 그들의 연결을 인식할 필요성을 강화합니다.

그 후에, 적들은 Windows OpenSSH를 사용하여 엔드포인트에 SSH 리스너를 시작했습니다. 다른 감염된 호스트가 연결되어 ‘sftp-server.exe'(OpenSSH SFTP 모듈)를 생성하여 Magnet RAM Capture 도구를 다운로드합니다. 공격자들은 같은 연결을 사용하여 맞춤형 역셸 임플란트인 ‘LAGTOY’를 추가로 다운로드하여 실행합니다. 이 맬웨어는 역셸 생성 및 명령 실행에 사용될 수 있습니다. ToyMaker의 기본 백도어인 LAGTOY는 하드코드된 C2 서버에 정기적으로 연락하여 명령을 받고 실행합니다. 서비스로 설치되어 있으며, 디버거 아래에서 실행되는지 감지하는 맞춤형 미처리 예외 필터를 등록하여 안티 디버깅을 포함하여 안티 맬웨어 분석을 방지합니다.

Cactus는 추가로 eHorus Agent (Pandora RC), AnyDesk, RMS 원격 관리 및 Windows’ OpenSSH를 포함한 다양한 원격 관리 도구를 배포하여 장기적 접근을 유지했습니다. 이 도구들은 공격자가 제어하는 서버에서 PowerShell 및 Impacket을 사용하여 다운로드되었습니다.

다른 경우에, 공격자들은 OpenSSH를 사용하여 역셸을 생성하고, 매시간 C2 서버에 연결하여 명령을 수신하고 실행하도록 예약 작업을 설정했습니다. 일부 기계에서는 랜섬웨어 배포를 돕기 위해 승인되지 않은 사용자 계정을 추가했습니다. Cactus는 Metasploit이 주입된 Windows 바이너리 버전 (PuTTY 및 ApacheBench)을 주로 사용하여 감염된 시스템에서 코드를 실행합니다.

IAB에 의해 주도된 사이버 공격의 증가와 이러한 캠페인의 정교함이 이중 갈취 및 랜섬웨어 갱단과의 협력을 포함할 수 있는 가능성이 커짐에 따라 조직들은 침입 위험을 줄이기 위한 효과적인 방법을 모색하고 있습니다. SOC Prime은 기술과 AI, 자동화, 실시간 위협 인텔리전스의 융합으로 구동되는 완전한 제품군 을 큐레이팅하여 사이버 위협을 초월하도록 합니다.