Эксперты предупредили, что вымогательские группировки все чаще используют новую малварь Skitnet (она же Bossnet) для постэксплуатации в скомпрометированных сетях.

Как сообщают аналитики компании Prodaft, вредонос рекламируется на хак-форумах с апреля 2024 года и начал набирать популярность среди вымогателей в начале 2025 года. К примеру, Skitnet в своих атаках уже использовали операторы BlackBasta и Cactus.

Реклама Skitnet

Заражение Skitnet начинается с запуска на целевой машине написанного на Rust загрузчика, который расшифровывает бинарник Nim с шифрованием ChaCha20 и загружает его в память. Полезная нагрузка Nim создает реверс-шелл на основе DNS для связи с управляющим сервером, инициируя сессию с помощью случайных DNS-запросов.

После этого малварь запускает три потока: один для отправки сигнальных DNS-запросов, другой для мониторинга и извлечения шелл-вывода, и еще один для прослушивания и расшифровки команд из DNS-ответов.

Сообщения и команды на выполнение отправляются посредством HTTP или DNS на основе команд, отправленных через панель управления Skitnet. В этой панели оператор может видеть IP-адрес цели, ее местоположение, статус и отдавать команды на выполнение.

Вредонос поддерживает следующие команды:

  • startup — закрепление в системе с помощью загрузки трех файлов (включая вредоносную DLL) и создания ярлыка для легитимного исполняемого файла Asus (ISP.exe) в папке Startup. Это запускает перехват DLL, который выполняет PowerShell-скрипт pas.ps1 для постоянной связи с управляющим сервером;
  • Screen — с помощью PowerShell создается скриншот рабочего стола жертвы, загружается на Imgur, а затем URL-адрес изображения передается на управляющий сервер;
  • Anydesk — загружает и незаметно устанавливает инструмент для удаленного доступа AnyDesk, скрывая при этом окно и иконку в трее;
  • Rutserv — загружает и тихо устанавливает инструмент удаленного доступа RUT-Serv;
  • Shell — запускает цикл PowerShell-команд. Отправляет начальное сообщение «Shell started...», затем каждые 5 секунд опрашивает (?m) сервер для получения новых команд, которые выполняются с помощью Invoke-Expression, после чего результаты отправляются обратно;
  • Av — перечисляет установленное на машине антивирусное и защитное ПО путем опроса WMI (SELECT * FROM AntiVirusProduct в пространстве имен root\SecurityCenter2). Результаты отправляются на управляющий сервер.

Помимо этих команд операторы Skitnet могут использовать возможности загрузчика .NET, что позволяет выполнять в памяти скрипты PowerShell для еще более глубокой кастомизации атак.

Специалисты отмечают, что хотя вымогательские группировки часто используют собственные инструменты, адаптированные под конкретные операции и плохо обнаруживаемые антивирусами, их разработка обходится недешево и требует привлечения квалифицированных разработчиков, которые не всегда доступны.

Использование готовой малвари, подобной Skitnet, обходится дешевле, позволяет быстрее осуществить развертывание и затрудняет атрибуцию, поскольку этого вредоноса используют многие злоумышленники.

Исследователи Prodaft опубликовали связанные со Skitnet индикаторы компрометации на GitHub.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии