Аналитики компании F6 раскрыли детали деятельности преступной группировки NyashTeam, специализирующейся на распространении вредоносного ПО и предоставлении хостинга для киберпреступников. Согласно исследованию, злоумышленники с 2022 года активно продают через Telegram-боты и специализированные сайты программы DCRat и WebRat, которые позволяют злоумышленникам удалённо управлять заражёнными устройствами, красть конфиденциальные данные и даже шпионить за жертвами через веб-камеры.
Описание
Одним из ключевых факторов успеха NyashTeam стала модель MaaS (Malware-as-a-Service), которая делает киберпреступность доступной даже для новичков. Платформа предлагает готовые инструменты для атак, подробные инструкции, техническую поддержку и даже плагины для расширения функционала вредоносного ПО. Всё это снижает порог входа в криминальную среду: теперь для организации атаки не нужно быть опытным хакером - достаточно заплатить от 349 рублей за подписку на вредоносный софт.
Группировка ориентирована на русскоязычную аудиторию, но её инструменты используются злоумышленниками по всему миру. Клиенты NyashTeam распространяют вредоносное ПО через YouTube и GitHub, маскируя его под взломанные программы, читы для игр или полезные утилиты. Вредоносные файлы часто запаковываются в архивы с паролем, что помогает обходить защитные системы платформ.
Особую опасность представляет инфраструктура NyashTeam, включающая сотни доменов в зоне .ru и других. Среди них - nyashka[.]top, nyashteam[.]ru и другие, прямо связанные с распространением вредоносного ПО. Аналитики F6 выявили более 350 доменов второго уровня, многие из которых использовались в реальных атаках. Например, киберпреступники из группы Confman применяли домены NyashTeam для целевых фишинговых кампаний против российских компаний из логистической и нефтегазовой отраслей.
Благодаря оперативной работе экспертов F6 и Координационного центра доменов .RU/.РФ более 110 доменов группировки уже заблокированы, что существенно осложнило её деятельность. Также были удалены обучающие материалы и исходный код WebRat с популярных платформ.
Этот случай демонстрирует, что даже хорошо организованные киберпреступные группировки уязвимы перед системным противодействием. Однако борьба с ними требует постоянного мониторинга, анализа инфраструктуры и оперативного реагирования. Блокировка доменов - важный, но не единственный инструмент защиты: необходимо повышать осведомлённость пользователей о методах социальной инженерии и опасности использования неофициального ПО.
NyashTeam - лишь один из примеров того, как киберпреступники коммерциализируют вредоносные технологии. Пока такие сервисы остаются востребованными, будут появляться новые группировки, предлагающие аналогичные услуги. Поэтому ключевая задача в борьбе с подобными угрозами - не только ликвидация конкретных операторов, но и создание системных механизмов, затрудняющих функционирование всей экосистемы киберпреступности.
Индикаторы компрометации
Domains
- activequestion.ru
- aniaim.ru
- autozakfull.ru
- babkiepta.ru
- beaboba.ru
- bibareg.ru
- bildea.ru
- blueb.ru
- bobaprog.ru
- borakobama.ru
- breyka.ru
- cherniychay.ru
- cherpalo.ru
- chokoman.ru
- ciganyata.ru
- closesession.ru
- cosmozil.ru
- cyberpotato.ru
- dckaka.ru
- demock.ru
- deshavu.ru
- detivnkuki.ru
- devnyash.top
- devnyashk.ru
- durok.ru
- eslitogda.ru
- eternalsenya.ru
- etogavno.ru
- fairwarning.ru
- getviktor.ru
- gugugusi.ru
- hyecoc.ru
- ikrishkaa.ru
- kolobokez.ru
- kotapulta.ru
- kotstuk.ru
- ktogdeya.ru
- lastct.ru
- lopatasovka.ru
- magazinguchi.ru
- mak1nt0sh.ru
- mamarimsky.ru
- memedesu.ru
- musipusbka.ru
- mx.webrat.ru
- naregayu.ru
- nedavaite.ru
- nedodeveloper.ru
- nodolomal.ru
- nutipa.ru
- nyafki.ru
- nyanyash.ru
- nyashback.ru
- nyashk.ru
- nyashlife.ru
- nyashnyash.ru
- nyashru.ru
- nyashtop.ru
- nyashvibe.ru
- nyashware.ru
- otkazaza.ru
- ouchuff.ru
- overlaw.ru
- paparimskyumer.ru
- penit.ru
- pereponos.ru
- perunsil.ru
- pidorasina.ru
- pivosalo.ru
- pobudil.ru
- pochinitb.ru
- podsnarkozom.ru
- pole4udes.ru
- posholnahuy.ru
- premove.ru
- prizivada.ru
- propere.ru
- pseudoironia.ru
- relativecanvas.ru
- ribachit.ru
- rlyworld.ru
- sa1at.ru
- samsuka.ru
- shnyash.ru
- spatoy.ru
- stervia.ru
- stethem.ru
- strpsils.top
- tacksofon.ru
- thissimply.ru
- timuzhik.ru
- tolstiyvruke.ru
- troynichek.ru
- trumpezwin.ru
- trumpprezident.ru
- uffyaa.ru
- uffyaafalka.ru
- umvdrf.ru
- unasnetds.ru
- uninav.ru
- upravsh.ru
- utkochka.ru
- uzbekisdes.ru
- velesmoc.ru
- veryapi.ru
- vestprior.ru
- waifochka.ru
- webcumer.ru
- webr.at
- webrat.ru
- webrat.su
- webrat.top
- zachemzashto.ru
- zaliff.ru
- zonarocknrolla.ru
MD5
- 6cb50c9d25ef98e252246ee613f7c095
- 7b998f53a5080a1eabc0c36505e319c4
SHA1
- 227f13557df1edb63ef16009c46b5969ff69e361
- c097b69214e0e26d832ee2417d3b192284c2f0e0
SHA256
- 5ab5b35b68f3273c6ece39e3dab7180ef16527834d587d72da640cb63decd634
- ea1a703b08ef3ad027b94818ba906972ea1f21786f8ec0a25cbd3ae360c795be
