Один из трендов цифровизации: киберпреступность становится всё доступнее, а порог входа в криминальный мир стремительно снижается. Сейчас для проведения кибератаки требуются минимальные технические знания, а порой можно обойтись и без них. Причина – в сервисах, которые создают киберпреступные группировки.
Модель MaaS (Malware-as-a-Service, вредоносное программное обеспечение как услуга) позволяет даже начинающим злоумышленникам выполнять сложные атаки без специальной подготовки. Киберпреступные платформы, созданные по модели MaaS, распространяют готовые вредоносные программы (ВПО), в которых инфраструктура уже настроена, панель управления интуитивно понятна, а инструкции чуть сложнее школьного букваря. Клиентам киберпреступных сервисов остаётся только заплатить за право пользования вредоносным софтом и сразу приступить к его использованию. Чем доступнее ВПО, тем больше кибератак – вот почему для эффективного противодействия киберпреступности такие платформы важно оперативно выявлять и блокировать.
Яркий пример такого подхода к организации киберпреступного сервиса – русскоязычная группировка NyashTeam. Она активна как минимум с 2022 года и продаёт через Telegram-боты и веб-сайты вредоносное ПО двух семейств – DCRat и WebRat, а также предоставляет хостинг-услуги для киберпреступной инфраструктуры и поддерживает клиентов через плагины, гайды и инструменты обработки данных.
Большинство целей, которые злоумышленники атакуют с помощью инструментов NyashTeam, находились в России. В случае с этой группировкой благодаря совместной работе специалистов F6 удалось поставить если не точку, то как минимум запятую. Аналитики компании вскрыли инфраструктуру злоумышленников и инициировали процесс её блокировки.
На лицо милашка, злобная внутри
Группировка NyashTeam с 2022 года прочно закрепилась на криминальном рынке MaaS. Сочетает продажу вредоносного ПО и предоставление хостинг услуг для его размещения. Ориентируется прежде всего на русскоязычную аудиторию, но её инструментами пользуются и другие злоумышленники из разных стран мира. Причины такой «популярности» – относительно низкая стоимость ВПО и простота его использования.
Злоумышленники ориентируются на разные категории клиентов, предлагая настроенные ВПО, командные серверы (C2) и обучающие материалы. В круге их интересов – как начинающие хакеры, так и опытные киберпреступники, которые ищут гибкие и масштабируемые инструменты или хостинги для своего ВПО.
В рамках модели MaaS NyashTeam распространяет два семейства ВПО.
DCRat (Dark Crystal RAT). Бэкдор, известный с 2018 года, предназначен для удалённого управления заражёнными устройствами. Поддерживает широкий спектр функций: кражу данных, запись клавиатурного ввода, доступ к веб-камере, скачивание файлов, эксфильтрацию паролей и выполнение произвольных команд.
WebRat. ВПО, специализирующееся на краже учётных данных браузеров, включая пароли, cookies и данные автозаполнения. Поддерживает удалённое выполнение команд и позволяет доставлять дополнительное вредоносное ПО. Он предоставляет как стандартные функции RAT и стилера, так и дополнительные возможности, такие как стриминг экрана и захват данных с веб-камеры. Дополнительная особенность WebRat – размещение админ-панели ВПО на общедоступном веб-ресурсе.
Продажа ВПО ведётся исключительно через Telegram-боты группировки.
Стоимость подписки на DCRat – 349 российских рублей в месяц. Стоимость месячной подписки WebRat – 1199 рублей, а веб-хостинга – 999 рублей на 2 месяца.
Платежи принимаются как с использованием российских платёжных систем, так и через криптовалютные кошельки.
Как устроена «няшная» поддержка
Помимо услуг по продаже ВПО, группировка дополнительно предоставляет киберпреступникам другие услуги.
Плагины и модификации: более 20 плагинов для DCRat и скрипты для WebRat позволяют адаптировать ВПО под конкретные цели, от кражи данных до шпионажа и доставки других вредоносных программ.
Гайды для новичков: подробные инструкции объясняют, как распространять ВПО через YouTube, GitHub и файлообменники. Эти гайды включают советы по созданию убедительных фишинговых кампаний, выбору целевой аудитории и обходу систем безопасности.
Инструменты обработки данных: NyashTeam предоставляет программное обеспечение для анализа логов, полученных с заражённых устройств, включая пароли, cookies, файлы и другую конфиденциальную информацию. Это помогает злоумышленникам повысить рентабельность атак.
Техническая поддержка. Группировка использует Telegram-боты для помощи, обновлений и ответов на вопросы клиентов.
В большинстве случаев клиенты группировки распространяли ВПО через платформы YouTube и GitHub.
YouTube. Клиенты NyashTeam используют фальшивые или взломанные аккаунты для загрузки видео, рекламирующих читы для игр, кряки лицензионного ПО или игровые боты. В описании видео размещают ссылки на файлообменники, где хранятся запароленные архивы с DCRat или WebRat. Пароль, указанный в описании, создаёт иллюзию легитимности, побуждая пользователей скачивать и открывать файлы.
GitHub. ВПО маскируется под взломанные версии лицензионного ПО, утилиты или читы, размещённые в публичных репозиториях. Запароленные архивы помогают обойти системы безопасности, делая GitHub эффективным каналом доставки вредоносных приложений. Злоумышленники часто используют привлекательные описания репозиториев, чтобы заманить жертв, особенно геймеров и пользователей, ищущих бесплатные альтернативы платному ПО.
Злоумышленники пользуются популярностью YouTube и GitHub, доверием пользователей и пробелами в модерации контента, чтобы распространять вредоносное ПО.
Подробности, индикаторы компрометации (более 100 доменов) - в новом блоге на сайте F6.
