Эксперты предупредили, что вымогательские группировки все чаще используют новую малварь Skitnet (она же Bossnet) для постэксплуатации в скомпрометированных сетях.
Как сообщают аналитики компании Prodaft, вредонос рекламируется на хак-форумах с апреля 2024 года и начал набирать популярность среди вымогателей в начале 2025 года. К примеру, Skitnet в своих атаках уже использовали операторы BlackBasta и Cactus.
Заражение Skitnet начинается с запуска на целевой машине написанного на Rust загрузчика, который расшифровывает бинарник Nim с шифрованием ChaCha20 и загружает его в память. Полезная нагрузка Nim создает реверс-шелл на основе DNS для связи с управляющим сервером, инициируя сессию с помощью случайных DNS-запросов.
После этого малварь запускает три потока: один для отправки сигнальных DNS-запросов, другой для мониторинга и извлечения шелл-вывода, и еще один для прослушивания и расшифровки команд из DNS-ответов.
Сообщения и команды на выполнение отправляются посредством HTTP или DNS на основе команд, отправленных через панель управления Skitnet. В этой панели оператор может видеть IP-адрес цели, ее местоположение, статус и отдавать команды на выполнение.
Вредонос поддерживает следующие команды:
- startup — закрепление в системе с помощью загрузки трех файлов (включая вредоносную DLL) и создания ярлыка для легитимного исполняемого файла Asus (ISP.exe) в папке Startup. Это запускает перехват DLL, который выполняет PowerShell-скрипт pas.ps1 для постоянной связи с управляющим сервером;
- Screen — с помощью PowerShell создается скриншот рабочего стола жертвы, загружается на Imgur, а затем URL-адрес изображения передается на управляющий сервер;
- Anydesk — загружает и незаметно устанавливает инструмент для удаленного доступа AnyDesk, скрывая при этом окно и иконку в трее;
- Rutserv — загружает и тихо устанавливает инструмент удаленного доступа RUT-Serv;
- Shell — запускает цикл PowerShell-команд. Отправляет начальное сообщение «Shell started...», затем каждые 5 секунд опрашивает (?m) сервер для получения новых команд, которые выполняются с помощью Invoke-Expression, после чего результаты отправляются обратно;
- Av — перечисляет установленное на машине антивирусное и защитное ПО путем опроса WMI (SELECT * FROM AntiVirusProduct в пространстве имен root\SecurityCenter2). Результаты отправляются на управляющий сервер.
Помимо этих команд операторы Skitnet могут использовать возможности загрузчика .NET, что позволяет выполнять в памяти скрипты PowerShell для еще более глубокой кастомизации атак.
Специалисты отмечают, что хотя вымогательские группировки часто используют собственные инструменты, адаптированные под конкретные операции и плохо обнаруживаемые антивирусами, их разработка обходится недешево и требует привлечения квалифицированных разработчиков, которые не всегда доступны.
Использование готовой малвари, подобной Skitnet, обходится дешевле, позволяет быстрее осуществить развертывание и затрудняет атрибуцию, поскольку этого вредоноса используют многие злоумышленники.
Исследователи Prodaft опубликовали связанные со Skitnet индикаторы компрометации на GitHub.
