Загадочный «Лабубу»: группа Toy Ghouls с креативными записками атакует российский бизнес

Группа, также известная как bearlyfy или laboo.boo, нацелена исключительно на финансовую выгоду, используя в качестве финальной полезной нагрузки известные семейства программ-вымогателей: LockBit и RedAlert для Windows, а также Babuk для Linux и виртуальных сред ESXi. Однако их визитной карточкой стал креативный подход к коммуникации. Вместо стандартных ультиматумов атакующие представляются монстром по имени Лабубу и составляют послания, наполненные аллюзиями на сферу деятельности жертвы - будь то строительство, нефтегазовый сектор или общественное питание. Эти едкие, стилизованные записки не только выполняют функцию требования выкупа, но и служат инструментом психологического давления, демонстрируя глубокое погружение злоумышленников в контекст атакованной организации.

С технической точки зрения тактика Toy Ghouls строится на принципах Living Off the Land (использование штатных инструментов системы), что затрудняет их обнаружение традиционными сигнатурными методами. Первоначальный доступ они чаще всего получают через компрометацию инфраструктур подрядчиков или злоупотребление легитимными учетными данными для доступа к сервисам вроде RDP (протокол удаленного рабочего стола) или VPN. Попав в периметр сети, атакующие демонстрируют высокую оперативную гибкость, используя широкий арсенал легальных и публично доступных утилит для разведки, перемещения и закрепления в системе.

Особого внимания заслуживает эксплуатация группой популярной платформы «1С:Предприятие». Злоумышленники используют небезопасные конфигурации серверов 1С для загрузки так называемого 1C-Shell - вредоносного файла внешней обработки. Этот инструмент, маскирующийся под легитимный компонент, позволяет выполнять произвольные команды на сервере с высокими привилегиями, что открывает путь к полному контролю над критически важной бизнес-системой. Данный вектор атаки особенно опасен, так как он атакует сердце IT-инфраструктуры многих компаний - систему бухгалтерского и операционного учета.

Для обеспечения устойчивого присутствия в сети Toy Ghouls применяют классические, но эффективные методы: создание новых учетных записей, регистрация вредоносных служб через утилиту NSSM и планировщик задач Windows. При этом они тщательно заметают следы, массово очищая журналы событий с помощью "wevtutil", удаляя записи о R-сессиях и изменяя настройки брандмауэра для беспрепятственного доступа к внутренним ресурсам, например, базам данных SQL. Горизонтальное перемещение осуществляется через развертывание SSH-туннелей и использование инструментов удаленного администрирования, таких как MeshAgent или AnyDesk.

Ключевой этап атаки - кража учетных данных - реализуется с помощью продвинутых техник. Помимо стандартного использования инструмента Mimikatz для дампа памяти процесса LSASS, группа активно атакует инфраструктуру Active Directory. Исследователи отметили применение техник DCSync для полной компрометации домена и эксплуатацию уязвимых шаблонов сертификатов в службах сертификации Active Directory (AD CS), известной как ESC1. Это позволяет им самовыдавать сертификаты для учетных записей администраторов домена, получая тем самым практически неотслеживаемый и устойчивый способ аутентификации. Дополнительно атакующие выгружают пароли из браузеров, менеджеров паролей вроде KeePass и даже пытаются извлечь ключи восстановления BitLocker для доступа к зашифрованным дискам.

Финальный аккорд - шифрование данных - выполняется с помощью настроенных образцов программ-вымогателей. Конфигурация используемого LockBit 3.0, собранного из публичного билдера, нацелена на максимальный ущерб: шифруются как локальные диски, так и сетевые ресурсы, при этом убиваются процессы, связанные с СУБД, виртуализацией и офисными приложениями, а также останавливаются службы теневого копирования и антивирусной защиты. Для усиления давления злоумышленники также пытаются останавливать виртуальные машины через Hyper-V и VMware ESXi перед их шифрованием.

Любопытным аспектом расследования стали обнаруженные пересечения активности Toy Ghouls с хактивистской группировкой Head Mare. Аналитики выявили совпадения в используемой сетевой инфраструктуре, включая конкретные IP-адреса и схожие доменные имена, а также высокий уровень сходства между некоторыми образцами шифровальщиков. Эти данные пока не позволяют утверждать о прямом сотрудничестве групп, но указывают на возможный общий источник инструментов или частично совмещенную инфраструктуру, что является тревожным трендом в рамках консолидации угроз.

Для специалистов по информационной безопасности действия Toy Ghouls служат напоминанием о необходимости комплексной защиты. Критически важны контроль доступа к критическим системам, особенно через учетные записи подрядчиков, регулярный аудит конфигураций таких платформ, как 1С и AD CS, а также внедрение решений класса EDR (Endpoint Detection and Response, системы обнаружения и реагирования на конечных точках) для выявления аномальной активности легитимных инструментов. Особое внимание следует уделять мониторингу событий, связанных с массовой очисткой логов, созданием нестандартных служб и запуском подозрительных скриптов через командные оболочки. Борьба с подобными угрозами требует не только технологических мер, но и постоянного повышения осведомленности персонала о рисках, связанных с компрометацией учетных данных и фишинговыми атаками на цепочки поставок.

IPv4

• 195.133.32.213
• 202.71.14.145
• 217.154.172.41
• 31.56.27.60
• 31.57.93.105

Domains

• 1cbit.dev
• akselerator.1cbit.dev
• nextcloud.1cbit.dev

Emails

• far@laboo.boo
• oil@laboo.boo
• support@laboo.boo
• xjieb@laboo.boo

MD5

• 098ab89af8683d4a75b4f3e049d6d5a4
• 1662c4c2c28852d778d37e224ed50c1b
• 29efd64dd3c7fe1e2b022b7ad73a1ba5
• 44039de9f0ea354d55240438818d58ea
• 5537c708edb9a2c21f88e34e8a0f1744
• 6c0b4bd995d72e27342da02497e03cb1
• 8ab9b1ae88020a3b534c1dc453ce1c7b
• 8c380b162797a423bb89877b950d6b81
• 9a8baf8a5ec7a0923d45d0f1177060d5
• a2b67d4329a0207c9589255b0cc300a4
• ad3720c364e79b1023ce4e9d504e8913
• b13010e837f8375cee6f5d2509957c4e
• b3411927cc7cd05e02ba64b2a789bbde
• b597171ba434af699fa5939188a32065
• b5e145e94feca4fa8d6ac777f2ac7c65
• cd915c6d6cb455fb2786cb4e2debdafc
• cf903e4a1629aa0582fd0363b5786676
• d29d9b9eb73fb72aa9d4392f552c7cf9
• e930b05efe23891d19bc354a4209be3e
• ec2a646334a28ba4ae409fd9a21dfa21
• f05b0b339b55005d9694ee011cc9f84c
• fde0fe1f9475c48453b1ec4aa51c9cd2