کشف و انهدام دامنه‌های یک گروه هکری در روسیه

به گزارش کارگروه بین‌الملل سایبربان؛ محققان امنیت سایبری روسیه شبکه‌ای از دامنه‌ها را که توسط یک گروه هکری نسبتاً گمنام به نام «NyashTeam» اداره می‌شد، شناسایی و منهدم کردند. شرکت «F6» مستقر در روسیه اعلام کرد که این گروه حداقل از سال ۲۰۲۲ به فروش بدافزار و ارائه خدمات میزبانی برای مجرمان سایبری مشغول بوده است.

تحلیلگران گفتند که بیش از ۱۱۰ دامنه مورد استفاده NyashTeam را کشف و شروع به منهدم کردن آن کرده‌اند. این حذف دامنه با پشتیبانی مرکز هماهنگی دامنه‌های ملی روسیه انجام شد.

پیش از این هیچ گزارش عمومی دقیقی در مورد NyashTeam منتشر نشده بود، اگرچه محققان دیگر ابتدا برخی دامنه‌های مرتبط با این گروه را در سال ۲۰۲۲ شناسایی کردند.

NyashTeam به عنوان یک طرح بدافزار به عنوان سرویس فعالیت می‌کند که عمدتاً قربانیان روسی را هدف قرار می‌دهد. این گروه دو نوع بدافزار اصلی «DCRat» و «WebRat» را از طریق ربات‌های تلگرام و وب‌سایت‌های اختصاصی می‌فروشد. DCRat، یک تروجان دسترسی از راه دور که از سال ۲۰۱۸ شناخته شده است، به مهاجمان اجازه می‌دهد تا داده‌ها را سرقت، کلیدهای فشرده شده را ثبت، به وب‌کم‌ها دسترسی پیدا کنند، رمزهای عبور را استخراج و دستوراتی را در دستگاه‌های آلوده اجرا کنند. WebRat، به عنوان ابزاری پیشرفته‌تر، بر جمع‌آوری اعتبارنامه‌های مرورگر و کوکی‌ها تمرکز دارد و از ویژگی‌هایی مانند پخش صفحه نمایش و جاسوسی وب‌کم پشتیبانی می‌کند.

علاوه بر فروش بدافزار، این گروه افزونه‌های سفارشی، راهنماهای کاربر و راه‌حل‌های میزبانی را برای سایر مجرمان سایبری ارائه می‌دهد و هم عاملان تهدید تازه‌کار و هم باتجربه را جذب می‌کند. خدمات آن به دلیل هزینه پایین و سهولت استفاده محبوب بود، به طوری که اشتراک بدافزار از ۳۴۹ روبل (حدود ۴ دلار) در ماه شروع می‌شود. طبق گفته F6، پرداخت‌ها از طریق پلتفرم‌های روسی و کیف پول‌های ارز دیجیتال پذیرفته می‌شوند.

طیف گسترده پیشنهادات NyashTeam، از جمله بدافزارهای از پیش پیکربندی شده، سرورهای فرماندهی و کنترل (C2) و مطالب آموزشی، هم برای هکرهای مبتدی و هم برای مجرمان سایبری باتجربه جذاب است.

مشتریان NyashTeam از یوتیوب و گیت‌هاب (GitHub) برای توزیع بدافزارهایی که به عنوان تقلب در بازی یا نرم‌افزارهای دزدی دریایی پنهان شده‌اند، استفاده می‌کنند. ویدیوها و توضیحات مخزن شامل لینک‌هایی به آرشیوهای محافظت‌شده با رمز عبور حاوی بدافزار هستند که اغلب کاربران را برای دانلود فایل‌ها فریب می‌دهند.

محققان گفتند:

«مهاجمان از محبوبیت و اعتماد مرتبط با یوتیوب و گیت‌هاب و همچنین شکاف‌های موجود در مدیریت محتوا برای توزیع بدافزار خود سوءاستفاده می‌کنند.»

علاوه بر مسدود کردن دامنه‌های مخرب مرتبط با NyashTeam، F6 همچنین درخواست حذف یک کانال تلگرامی که میزبان کد منبع WebRat است را به همراه چهار ویدیوی آموزشی در یک پلتفرم ویدیویی بدون نام، ارائه داد.

به گفته کارشناسان، تجزیه و تحلیل و حذف بعدی زیرساخت NyashTeam به طور قابل توجهی، هرچند موقت، عملیات‌های این گروه را مختل و توانایی آن را در انتشار بدافزار محدود کرده است.