随着网络攻击手段的不断演进,网络犯罪集团之间的协作变得日益复杂。近期,安全研究人员揭示了一个名为ToyMaker的初始访问经纪人(IAB)如何通过部署恶意软件LAGTOY,获取高价值组织的访问权限,并将其出售给以双重勒索闻名的CACTUS勒索软件集团。此举不仅放大了勒索软件攻击的威胁程度,也让企业网络安全防范工作面临更大挑战。ToyMaker作为一个“中间人”,专门扫描网络寻找并利用软件漏洞,尤其是对互联网暴露的系统进行攻击,进而获得企业网络的初始访问权限。其背后是一个高效的操作体系,利用各种已知安全漏洞快速入侵,包括但不限于未经修补的远程桌面协议(RDP)、内容管理系统(CMS)以及数据库应用等。值得注意的是,ToyMaker并非直接实施勒索软件攻击,而是通过部署一种名为LAGTOY(亦称HOLERUN)的高定制化恶意软件,为后续攻击奠定基础。
LAGTOY能够在感染主机上建立反向Shell连接,执行远程命令,并与硬编码的命令与控制服务器(C2服务器)通信以接收指令。此恶意软件还具备执行多种复杂命令的能力,包括启动或终止进程,以指定用户权限运行任务,甚至处理故意设置的时间间隔,以避开监测。安全专家指出,ToyMaker利用LAGTOY不仅可以快速确立对目标系统的深度控制,还能实施凭证搜集、系统侦查等行为。攻击团队会通过内存取证工具如Magnet RAM Capture获取机器内存中的敏感信息,特别是凭证数据,以便后续横向渗透和提升权限。网络安全公司Talos的分析显示,ToyMaker在获得访问权限后通常会在极短的时间内将该访问出售给CACTUS勒索软件集团。这种“交接”通常发生在不到一周的时间内,体现了高度的协同效率。
CACTUS集团随后利用这些凭证进入目标网络,进行侦查、持久化及横向传播,之后发动勒索软件加密数据并威胁公开泄露,以实现双重勒索策略。双重勒索是一种极具破坏力的攻击方式,不仅加密受害者数据索要赎金,还通过威胁公开受害者敏感信息加重心理压力,迫使其支付更高赎金。ToyMaker作为初始访问经纪人,将自己定位为商业化的服务提供者,专注于通过出售访问权限实现高额盈利,尽管其本身并不参与数据窃取或公开,且没有明显的间谍活动动机。然而,其行为无疑助长了勒索软件攻击的蔓延,成为助纣为虐的关键环节。针对企业而言,应优先加强对互联网暴露资产的安全加固,及时修补漏洞,强化凭证管理和多因素认证策略,以降低初始访问被攻击者获取的风险。同时,部署先进的威胁检测和响应机制,例如基于行为分析的入侵检测系统,可及时发现非正常的远程连接及执行行为。
值得注意的是,LAGTOY恶意软件的活动具有一定的可识别特征,例如特定的通信模式及命令执行节奏,安全团队可借助这些线索结合情报进行定向监控和追踪。此外,针对被感染系统的内存取证活动是攻击链中重要一步,企业应定期审查内部工具使用情况,并防范攻击者滥用合法工具实施攻击。近年来勒索软件攻击已呈现出网络犯罪产业链化和服务化的趋势,初始访问经纪人扮演着连接“漏洞利用者”和“勒索软件运营者”的桥梁角色。ToyMaker利用LAGTOY为CACTUS等勒索集团提供服务,充分体现了这一产业链生态的成熟与危险。企业网络安全战略应适应这一变化,加强供应链安全管理和情报共享,提升应对复杂攻击链的能力。总之,ToyMaker和LAGTOY的动态揭示了勒索软件攻击的另一种新兴模式,即通过专业化分工和服务化手段拓展攻击的规模和深度。
面对这一挑战,全球安全社区需紧密协作,强化威胁情报共享,加快技术创新,才能有效遏制勒索软件犯罪的肆虐,保护关键信息基础设施安全。
