サイバーセキュリティ研究者は、ToyMakerと呼ばれる初期アクセスブローカー(IAB)の活動を詳細に報告しました。このブローカーは、アクセスを引き渡し、CACTUSのような二重恐喝ランサムウェアギャングに関与しています。
このIABは、金銭的動機を持つ脅威アクターとして中程度の信頼性で評価されており、脆弱なシステムをスキャンし、LAGTOY(別名HOLERUN)というカスタムマルウェアを展開しています。
“LAGTOYは、リバースシェルを作成し、感染したエンドポイントでコマンドを実行するために使用できます” と、Cisco Talosの研究者であるJoey Chen、Asheer Malhotra、Ashley Shen、Vitor Ventura、Brandon Whiteが述べています。
このマルウェアは、Googleが所有するMandiantによって2023年3月末に初めて文書化され、その使用はUNC961として追跡される脅威アクターに帰属されています。この活動クラスターは、Gold MelodyやProphet Spiderなどの他の名前でも知られています。
脅威アクターは、インターネットに面したアプリケーションの既知のセキュリティ欠陥を利用して初期アクセスを取得し、その後、偵察、資格情報の収集、LAGTOYの展開を1週間以内に行うことが観察されています。
攻撃者はまた、被害者の資格情報を収集する目的で、リモートホストへのSSH接続を開き、Magnet RAM Captureというフォレンジックツールをダウンロードしてマシンのメモリダンプを取得します。
LAGTOYは、ハードコードされたコマンド・アンド・コントロール(C2)サーバーに接続して、エンドポイントで実行するためのコマンドを取得するように設計されています。Mandiantによれば、指定されたユーザーの権限でプロセスを作成し、コマンドを実行するために使用できます。
このマルウェアはまた、C2サーバーからの3つのコマンドを処理する機能を備えており、それらの間に11000ミリ秒のスリープ間隔があります。
“約3週間の活動の停滞の後、ToyMakerによって盗まれた資格情報を使用して、CACTUSランサムウェアグループが被害者の企業に侵入するのを観察しました” とTalosは述べています。
“比較的短い滞在時間、データ盗難の欠如、CACTUSへのその後の引き渡しに基づくと、ToyMakerがスパイ活動を目的とした野心や目標を持っていた可能性は低いです”。
Talosが分析した事件では、CACTUSランサムウェアの関係者がデータの抽出と暗号化の前に独自の偵察と持続活動を行ったとされています。また、OpenSSH、AnyDesk、eHorus Agentを使用して長期アクセスを設定するための複数の方法も観察されています。
“ToyMakerは、金銭的動機を持つ初期アクセスブローカー(IAB)であり、高価値の組織へのアクセスを取得し、そのアクセスを通常、二重恐喝やランサムウェアの展開を通じて収益化する二次的な脅威アクターに移譲します” と会社は述べています。