Инфраструктура киберпреступной группы заблокирована

Специалисты компании F6 раскрыли сеть доменов группировки NyashTeam, которая распространяет вредоносное ПО и предоставляет злоумышленникам хостинг-услуги.

Клиенты группировки атаковали пользователей как минимум в 50 странах мира, в том числе в России. Сейчас более 110 доменов в зоне .ru, которые использовала группировка, уже заблокированы.

Эта группировка активна как минимум с 2022 года. Она распространяет по подписке через телеграм-боты и веб-сайты вредоносное программное обеспечение (ВПО), а также предоставляет хостинг-услуги для киберпреступной инфраструктуры. Большинство целей, которые злоумышленники атаковали с помощью инструментов NyashTeam, находятся в России.

Группировка распространяла вредоносный софт по модели MaaS (Malware-as-a-Service — вредоносное программное обеспечение как услуга). Такая модель позволяет даже начинающим злоумышленникам выполнять сложные атаки без специальной подготовки. Киберпреступные платформы, созданные по модели MaaS, распространяют готовые вредоносные программы, в которых инфраструктура уже настроена, панель управления интуитивно понятна, а инструкции чуть сложнее школьного букваря. Клиентам киберпреступных сервисов остается только заплатить за право пользования вредоносным софтом и сразу приступить к его использованию. Чем доступнее ВПО, тем больше кибератак, – вот почему для эффективного противодействия киберпреступности такие платформы важно оперативно выявлять и блокировать.

Группировка NyashTeam ориентировалась прежде всего на русскоязычную аудиторию, но ее инструментами пользуются и другие злоумышленники из разных стран мира.

Причина такой популярности – относительно низкая стоимость ВПО. В большинстве случаев клиенты группировки распространяют ВПО через платформы YouTube и GitHub. Этим атакам подвергаются как геймеры, которые ищут читы, так и пользователи, желающие бесплатно получить необходимые программы. В YouTube злоумышленники используют фальшивые или взломанные аккаунты для загрузки видео, рекламирующих читы для игр, кряки лицензионного ПО или игровые боты. Ссылки под такими видео ведут на файлообменники, где под видом читов и кряков предлагается скачать архив с вредоносным ПО. На GitHub вредоносный софт от NyashTeam маскируют под взломанные версии лицензионного ПО, утилиты или читы, размещённые в публичных репозиториях.

Специалисты F6 обнаружили, что с момента начала активности группировки NyashTeam в 2022 году в ее инфраструктуре было задействовано более 350 доменов второго уровня. Наибольшая активность регистрации вредоносных доменов пришлась на декабрь 2024 года и январь-февраль 2025-го. Специалисты F6 фиксировали не только активный рост количества доменов, используемых NyashTeam, но и их применение в атаках злоумышленников. Например, в 2024 году клиенты группировки рассылали фишинговые письма с ВПО DCRat в адрес российских компаний, работающих в сферах логистики, нефтегазовой добычи, геологии и ИТ.

CERT-F6 направил на блокировку вредоносные домены, связанные с группировкой NyashTeam, в Координационный центр доменов .RU/.РФ. По данным на 21 июля 2025 года уже заблокированы более 110 доменов в зоне .ru. Также заблокирован телеграм-канал с исходным кодом WebRat и четыре обучающих видео на популярном видеохостинге.

Для предотвращения и защиты от возможных кибератак c использованием вредоносного программного обеспечения, распространяемого группировкой NyashTeam, и атак групп со схожими техниками специалисты компании F6 рекомендуют следующие меры:
избегать загрузки программного обеспечения из непроверенных источников, в том числе через YouTube, GitHub или файлообменники;
регулярно обучать сотрудников методам распознавания фишинга и других форм социальной инженерии;
применять данные киберразведки, например Threat Intelligence, для проактивного поиска и обнаружения угроз. Это поможет вовремя идентифицировать и нейтрализовать потенциальную опасность;
использовать передовые решения для защиты электронной почты с целью предотвращения вредоносных рассылок, такими как Business Email Protection для эффективного противодействия подобным атакам;
внедрять современные средства для обнаружения и реагирования на киберугрозы, так, решение Managed XDR использует многочисленные источники телеметрии и передовые технологии машинного обучения для выявления угроз и реагирования на них.