Киберпреступная группировка ToyMaker, действующая в качестве брокера первичного доступа (IAB), специализируется на продаже доступа к скомпрометированным сетям организаций операторам программ-вымогателей. Согласно исследованию специалистов Cisco Talos, со средней степенью уверенности можно утверждать, что ToyMaker движут финансовые мотивы. Эта группировка также известна под другими именами: UNC961, Gold Melody и Prophet Spider, как сообщает компания Mandiant.
Основным инструментом ToyMaker является вредоносное ПО LAGTOY (также известное как HOLERUN). Впервые этот вредоносный инструмент был задокументирован принадлежащей Google компанией Mandiant в конце марта 2023 года. LAGTOY обладает широким набором функций: создание обратных оболочек, выполнение команд на зараженных конечных точках и обращение к жестко закодированному серверу управления и контроля (C2) для получения инструкций.
Среди технических возможностей LAGTOY особо выделяются создание процессов и выполнение команд от имени определенных пользователей с соответствующими привилегиями. Вредоносное ПО обрабатывает три команды от C2-сервера с интервалом в 11000 миллисекунд между ними, что помогает избегать обнаружения системами безопасности.
Методология атак ToyMaker начинается со сканирования уязвимых систем. После обнаружения подходящих целей злоумышленники развертывают LAGTOY и открывают SSH-соединения для загрузки Magnet RAM Capture — инструмента, обычно используемого в легитимной компьютерной криминалистике. С его помощью создаются дампы памяти, используемые для сбора учетных данных жертв.
Примечательно, что после компрометации системы ToyMaker обычно не предпринимает активных действий в течение примерно трех недель. По истечении этого периода группировка передает полученный доступ операторам программы-вымогателя CACTUS, которые используют украденные учетные данные для дальнейшего развития атаки.
Операторы CACTUS проводят разведку сети и закрепляются в системе, используя различные методы персистентности. Одной из отличительных особенностей их тактики является применение подхода двойного вымогательства: сначала происходит эксфильтрация данных, а затем их шифрование. Для обеспечения долгосрочного доступа к скомпрометированным системам CACTUS использует комбинацию инструментов: OpenSSH, AnyDesk и eHorus Agent.
Исследование этой киберпреступной схемы провели эксперты Cisco Talos: Джои Чен, Ашир Малхотра, Эшли Шен, Витор Вентура и Брэндон Уайт. Они отмечают, что подобное разделение ролей становится все более распространенным в киберпреступном мире.
Ключевой вывод исследования заключается в том, что ToyMaker специализируется на получении доступа к сетям высокоценных организаций и последующей передаче этого доступа вторичным злоумышленникам, которые монетизируют его через двойное вымогательство и развертывание программ-вымогателей. Такая модель «разделения труда» позволяет каждой группе сосредоточиться на своей специализации, повышая эффективность атак и усложняя их обнаружение.
Изображение носит иллюстративный характер
Основным инструментом ToyMaker является вредоносное ПО LAGTOY (также известное как HOLERUN). Впервые этот вредоносный инструмент был задокументирован принадлежащей Google компанией Mandiant в конце марта 2023 года. LAGTOY обладает широким набором функций: создание обратных оболочек, выполнение команд на зараженных конечных точках и обращение к жестко закодированному серверу управления и контроля (C2) для получения инструкций.
Среди технических возможностей LAGTOY особо выделяются создание процессов и выполнение команд от имени определенных пользователей с соответствующими привилегиями. Вредоносное ПО обрабатывает три команды от C2-сервера с интервалом в 11000 миллисекунд между ними, что помогает избегать обнаружения системами безопасности.
Методология атак ToyMaker начинается со сканирования уязвимых систем. После обнаружения подходящих целей злоумышленники развертывают LAGTOY и открывают SSH-соединения для загрузки Magnet RAM Capture — инструмента, обычно используемого в легитимной компьютерной криминалистике. С его помощью создаются дампы памяти, используемые для сбора учетных данных жертв.
Примечательно, что после компрометации системы ToyMaker обычно не предпринимает активных действий в течение примерно трех недель. По истечении этого периода группировка передает полученный доступ операторам программы-вымогателя CACTUS, которые используют украденные учетные данные для дальнейшего развития атаки.
Операторы CACTUS проводят разведку сети и закрепляются в системе, используя различные методы персистентности. Одной из отличительных особенностей их тактики является применение подхода двойного вымогательства: сначала происходит эксфильтрация данных, а затем их шифрование. Для обеспечения долгосрочного доступа к скомпрометированным системам CACTUS использует комбинацию инструментов: OpenSSH, AnyDesk и eHorus Agent.
Исследование этой киберпреступной схемы провели эксперты Cisco Talos: Джои Чен, Ашир Малхотра, Эшли Шен, Витор Вентура и Брэндон Уайт. Они отмечают, что подобное разделение ролей становится все более распространенным в киберпреступном мире.
Ключевой вывод исследования заключается в том, что ToyMaker специализируется на получении доступа к сетям высокоценных организаций и последующей передаче этого доступа вторичным злоумышленникам, которые монетизируют его через двойное вымогательство и развертывание программ-вымогателей. Такая модель «разделения труда» позволяет каждой группе сосредоточиться на своей специализации, повышая эффективность атак и усложняя их обнаружение.
