Пока вы обновляли Windows, ToyMaker из даркнета уже перепродал ваши пароли конкурентам.

Cisco Talos раскрыла «бизнес-модель» опасного брокера данных

На киберпреступной арене появился новый игрок: специалисты Cisco Talos разоблачили деятельность брокера первичного доступа под псевдонимом ToyMaker. Он продаёт скомпрометированные системы операторам программ-вымогателей, в том числе группировке CACTUS.

Для атак злоумышленник использует собственное вредоносное ПО LAGTOY (также известное как HOLERUN), которое создаёт обратные оболочки и выполняет команды на заражённых устройствах. Первые упоминания об угрозе появились в марте 2023 года в отчётах Mandiant, где ToyMaker связывали с группой UNC961 (Gold Melody/Prophet Spider).

Злоумышленник эксплуатирует известные уязвимости, быстро получает доступ к инфраструктуре жертвы, похищает учётные данные и разворачивает LAGTOY. Затем через SSH загружает Magnet RAM Capture для создания дампа оперативной памяти и кражи данных.

LAGTOY подключается к жёстко заданному серверу управления, принимая команды каждые 11 секунд, что позволяет эффективно контролировать заражённые сети.

После похищения учётных данных ToyMaker затаился примерно на три недели, а затем в сеть жертвы проникла группировка CACTUS, использовав украденную информацию для подготовки долговременного присутствия, применяя легитимные инструменты вроде OpenSSH, AnyDesk и eHorus Agent.

Стиль работы ToyMaker указывает на чисто коммерческую мотивацию — без масштабного похищения данных или разведывательных целей.