2023 年，网络安全专家发现，一个技术高超的威胁行为者组织对关键基础设施企业造成了大规模的安全侵害。

这个被称为 ToyMaker 的初始访问中间人，在部署定制后门程序从受害企业中提取凭据之前，系统地利用了面向互联网的易受攻击系统。

他们的攻击方法包括精心策划，使用 SSH 文件传输实用程序和远程管理工具，以保持对被攻陷网络的持续访问。

该威胁行为者的主要目标似乎是出于经济利益，ToyMaker 先建立初始访问权限，然后将控制权转移给二级行为者，特别是 Cactus 勒索软件组织。

ToyMaker 和 Cactus 之间的这种关系，反映了网络犯罪生态系统中一个令人担忧的趋势，即专门的组织专注于攻击链中的特定环节，而不是自行执行端到端的攻击操作。

Cisco Talos 的研究人员识别出了 ToyMaker 的标志性后门程序，名为 “LAGTOY”，它为受感染系统提供了远程访问功能。

这个后门程序使威胁行为者能够建立反向 Shell，并在被攻陷的终端上执行任意命令。

在提取凭据之后，ToyMaker 通常会将访问权限移交给 Cactus 团伙，后者随后会部署勒索软件，并采用双重勒索策略。

感染链条始于 ToyMaker 利用面向互联网的易受攻击服务器，随后通过快速侦察命令收集系统信息。

攻击者随后会创建假的用户账户，通常命名为 “support”，并将其添加到管理组中。调查显示，ToyMaker 在部署其凭据窃取工具之前，会使用 Windows OpenSSH 软件包在被攻陷的终端上建立监听器。

LAGTOY 后门：技术分析

LAGTOY，也被美国网络安全公司 Mandiant 称为 “HOLERUN”，是 ToyMaker 武器库中的主要持续性威胁工具。

这个后门程序被设计为定期连接到硬编码的命令与控制（C2）服务器，在受感染的系统上接收并执行命令。

该恶意软件作为一个名为 “WmiPrvSV” 的 Windows 服务运行，并采用基本的反调试技术来逃避分析。

这个后门程序的执行逻辑是通过 443 端口与它的 C2 服务器建立通信，不过值得注意的是，它并不使用传输层安全（TLS）加密。

相反，它使用原始套接字连接，使其能够绕过标准的加密检查机制。

if ( v1 )

{

memset(MultiByteStr, 0, 0x1820ui64);

v2 = v1;

v3 = v7 + 2i64 * v1 – 2;

if ( v1 != 1 || *(_WORD *)v3 != 10 && *(_WORD *)v3 != 13 )

{

do

{

v4 = *(_WORD *)v3;

v3 -= 2i64;

if ( v4 == 10 || v4 == 13 )

*(_WORD *)(v3 + 2) = 0;

–v2;

}

while ( v2 );

LAGTOY 的命令结构揭示了三个主要的控制代码：“#pt” 用于停止服务，“#pd” 用于中断执行链，“#ps” 用于创建进程或执行命令。

该恶意软件实现了一种独特的基于时间的执行逻辑，使其能够确定何时执行命令以及何时进入休眠状态。

这种机制包括一个看门狗例程，如果运行时间超过 60 分钟，该例程会重新初始化连接，这显示出了其复杂的持续性能力。

LAGTOY 实现的整体时间安排和 C2 通信逻辑表明，该恶意软件能够处理来自 C2 的三条命令，并且命令之间的休眠间隔为 11000 毫秒。

这种精心设计的通信模式有助于在保持威胁行为者操作效率的同时，最大限度地减少被检测到的可能性。

在建立访问权限后，ToyMaker 通常会潜伏大约三周时间，然后 Cactus 的操作人员会接管访问权限，部署他们自己的工具集用于横向移动、数据渗出，最终部署勒索软件 —— 这展示了现代网络犯罪活动日益细化分工的特点。