مختل شدن گروه هکری روس‌زبان توسط پژوهشگران محلی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، به گفته شرکت روسی اف 6 (F6)، این گروه دست‌کم از سال ۲۰۲۲ اقدام به فروش بدافزار و ارائه خدمات میزبانی برای مجرمان سایبری کرده است.

در گزارشی که روز سه‌شنبه منتشر شد، تحلیلگران اعلام کردند که بیش از ۱۱۰ دامنه‌ مرتبط با نیاش تیم (NyashTeam) را کشف و روند از کار انداختن آن‌ها را آغاز کرده‌اند.

این عملیات با حمایت مرکز هماهنگی دامنه‌های ملی روسیه انجام شد.

پیش از این، گزارش عمومی دقیقی درباره‌ی نیاش تیم منتشر نشده بود، اگرچه برخی محققان در سال ۲۰۲۲ دامنه‌هایی مرتبط با این گروه را شناسایی کرده بودند.

گروه نیاش تیم به‌عنوان یک طرح بدافزار به‌عنوان خدمت (malware-as-a-service) فعالیت می‌کرد و عمدتاً کاربران روسی را هدف قرار می‌داد.

آن‌ها دو نوع بدافزار اصلی به نام‌های دی سی رت (DCRat) و وب رت (WebRat) را از طریق ربات‌های تلگرامی و وب‌سایت‌های اختصاصی به فروش می‌رساندند.

دی سی رت یک تروجان دسترسی از راه دور است که از سال ۲۰۱۸ شناخته شده و به مهاجمان اجازه می‌دهد داده‌ها را سرقت کنند، کلیدهای فشرده‌شده را ثبت کنند، به وب‌کم دسترسی یابند، گذرواژه‌ها را خارج کنند و دستورات دلخواه را روی دستگاه آلوده اجرا کنند.

وب رت، ابزاری پیشرفته‌تر است که بر سرقت اطلاعات ورود (credentials) و کوکی‌های مرورگر تمرکز دارد و قابلیت‌هایی چون پخش زنده از صفحه نمایش و جاسوسی از طریق وب‌کم را پشتیبانی می‌کند.

علاوه بر فروش بدافزار، این گروه افزونه‌های سفارشی، راهنماهای آموزشی و خدمات میزبانی را نیز برای سایر مجرمان سایبری ارائه می‌داد و به همین دلیل هم مهاجمان تازه‌کار و هم مجرمان باتجربه را جذب می‌کرد.

محبوبیت خدمات این گروه به دلیل قیمت پایین و کاربری آسان آن‌ها بود؛ اشتراک بدافزارها از ۳۴۹ روبل (حدود ۴ دلار) در ماه آغاز می‌شد.

پرداخت‌ها نیز از طریق پلتفرم‌های روسی و کیف‌پول‌های رمزارزی انجام می‌گرفت.

تنوع بالای خدمات نیاش تیم، از بدافزارهای آماده، سرورهای فرمان و کنترل (C2)، تا محتوای آموزشی، باعث شده بود هم برای هکرهای مبتدی و هم مهاجمان حرفه‌ای جذاب باشد.

مشتریان نیاش تیم از یوتیوب و گیت‌هاب برای انتشار بدافزارهایی استفاده می‌کردند که در قالب تقلب‌های بازی یا نرم‌افزارهای کرک‌شده پنهان شده بودند.

توضیحات ویدیوها یا مخازن کد شامل لینک‌هایی به آرشیوهای رمزدار حاوی بدافزار بود که کاربران را فریب داده و ترغیب به دانلود می‌کرد.

پژوهشگران گفته‌اند:

مهاجمان از محبوبیت و اعتماد عمومی نسبت به یوتیوب و گیت‌هاب، و همچنین خلأهای موجود در نظارت بر محتوای این پلتفرم‌ها برای توزیع بدافزار استفاده می‌کنند.

علاوه بر مسدودسازی دامنه‌های مخرب مرتبط با نیاش تیم، شرکت اف 6 همچنین درخواست حذف یک کانال تلگرامی حاوی کد منبع وب رت را نیز داده، به همراه چهار ویدیوی آموزشی منتشر شده در یک پلتفرم ویدیویی ناشناس.

محققان اعلام کردند که تحلیل و انهدام زیرساخت‌های نیاش تیم، فعالیت این گروه را به‌طور قابل توجهی، هرچند موقتی، مختل کرده و توانایی آن برای گسترش بدافزار را محدود کرده است.