В современном киберпространстве угроза со стороны профессиональных киберпреступных групп неуклонно растёт, в особенности когда речь идёт о коллективных действиях злоумышленников, построенных на модели разделения труда. Одним из ключевых игроков на этом поле является так называемый начальный брокер доступа — ToyMaker, чья деятельность недавно попала в поле зрения экспертов по кибербезопасности. ToyMaker специализируется на обнаружении уязвимых точек в инфраструктуре организаций и продаже доступа к ним более крупным группам злоумышленников, таким как вымогательская группировка CACTUS. Подобный бизнес-модель способствует расширению зоны риска и усложняет защиту корпоративных систем, что вызывает серьёзную обеспокоенность среди специалистов и руководителей ИТ-безопасности. Ключевым звеном в деятельности ToyMaker является использование вредоносного ПО LAGTOY, известного также под названием HOLERUN, которое позволяет эффективно контролировать и управлять заражёнными машинами.
Этот зловред способен создавать обратные оболочки и выполнять команды на заражённых конечных точках, что даёт злоумышленникам высокий уровень контроля и позволяет проводить комплексные операции по разведке, сбору учётных данных и установке дополнительного вредоносного ПО. По данным исследователей Cisco Talos, LAGTOY связывается с заранее запрограммированным сервером командования и управления (C2) и выполняет команды, полученные от операторов C2. Его функционал включает создание процессов и выполнение команд с учётом прав конкретных пользователей, что делает вредонос особенно опасным с точки зрения обхода систем защиты и продления времени скрытого присутствия в сети жертвы. История появления LAGTOY связана с деятельностью группы UNC961, которую также называют Gold Melody или Prophet Spider. Первый официальный анализ вредоноса был опубликован в 2023 году исследователями из Mandiant, которые проследили использование LAGTOY за деятельностью данной угрозы.
Исследователи отмечают активное применение множества известных уязвимостей в интернет-ориентированных приложениях, что позволяет ToyMaker молниеносно внедряться в инфраструктуру жертвы, проводить разведку и добывать ценную информацию всего за несколько дней. После первоначального проникновения ToyMaker проводит сбор учётных данных, используя разнообразные методы, включая вскрытие SSH-сессий и скачивание специализированных инструментов, таких как Magnet RAM Capture. Данный инструмент используется для создания дампов оперативной памяти с целью выявления паролей и других конфиденциальных данных, значительно упрощая последующие атаки. Весь процесс внедрения и сбора данных демонстрирует высокую организацию и профессионализм, что говорит о серьёзной мотивации и хорошо выстроенной инфраструктуре злоумышленников. Следующий этап происходит после передачи доступа группировке CACTUS, известной своим двойным вымогательством.
Эта модель предполагает не только шифрование данных жертвы с целью получения выкупа, но и предварительное вымогательство с угрозой публикации украденных данных, что значительно увеличивает давление на пострадавшие организации. Анализ инцидентов показывает, что CACTUS ведёт собственные операции по разведке и закреплению в сети, используя для долгосрочного доступа такие инструменты как OpenSSH, AnyDesk и eHorus Agent. Это позволяет преступникам подготавливаться к масштабным атакам и максимизировать потенциальный ущерб. Именно объединённая деятельность ToyMaker и CACTUS создаёт угрозу, значительно превосходящую по опасности разрозненные атаки. Отмечается, что ToyMaker не заинтересован в сборе разведданных или промышленном шпионаже; его основная цель — финансовая выгода через продажу доступа, что переносит все риски на последующих исполнителей.
Этот подход отражает растущую тенденцию к профессионализации и специализации в преступном мире, где каждый участник сосредотачивается на выполнении своей роли для максимизации прибыли и эффективности. Для корпоративных структур и специалистов по безопасности важно понимать механизмы работы таких угроз и своевременно внедрять комплексные меры защиты. Первичные рекомендации включают регулярный аудит и обновление программного обеспечения, мониторинг подозрительной активности в сетях, особенно соединений SSH и удалённого доступа, а также обучение сотрудников принципам информационной гигиены и распознаванию признаков компрометации. Повышение осведомлённости и своевременное реагирование могут значительно снизить вероятность успешной атаки и увеличить шансы на своевременное обнаружение вторжения. В целом случай с ToyMaker и CACTUS служит наглядным примером современного состояния киберугроз — всё более изощрённых, включающих единую цепочку логических звеньев и использующих инновационные подходы к преодолению защитных мер.
