一些勒索软件的参与者正在使用一种名为Skitnet的恶意软件,作为他们开发后努力的一部分,以窃取敏感数据并建立对受感染主机的远程控制。
瑞士网络安全公司PRODAFT告诉《黑客新闻》:“自2024年4月以来,Skitnet一直在RAMP等地下论坛上出售。”“然而,自2025年初以来,我们已经观察到多个勒索软件运营商在现实世界的攻击中使用它。”
“例如,在2025年4月,Black Basta在针对企业环境的团队主题网络钓鱼活动中利用Skitnet。凭借其隐身功能和灵活的架构,Skitnet似乎在勒索软件生态系统中迅速获得了吸引力。”
Skitnet,也被称为Bossnet,是一种多阶段恶意软件,由一个威胁行为者开发,该公司以LARVA-306的名义跟踪。该恶意工具的一个值得注意的方面是,它使用Rust和Nim等编程语言通过DNS启动反向shell并逃避检测。
它还集成了持久机制、远程访问工具、数据泄露命令,甚至可以下载可用于提供额外有效负载的. net加载器二进制文件,使其成为一种通用威胁。
“这个Nim二进制文件的主要功能是通过DNS解析与C2[命令和控制]服务器建立反向shell连接,”PRODAFT说。“为了逃避检测,它使用GetProcAddress函数来动态解析API函数地址,而不是使用传统的导入表。”
基于nim的二进制进一步启动多个线程,每10秒发送一次DNS请求,读取DNS响应并提取要在主机上执行的命令,并将命令执行的结果传回服务器。这些命令通过用于管理受感染主机的C2面板发出。
下面列出了一些支持的PowerShell命令
- 启动,它通过在受害者设备的启动目录中创建快捷方式来确保持久性
- 屏幕,它捕获受害者桌面的屏幕截图
- Anydesk/Rutserv,它部署一个合法的远程桌面软件,如Anydesk或远程实用程序(“Rutserv .exe”)
- Shell,运行托管在远程服务器上的PowerShell脚本,并将结果发送回C2服务器
- AV,它收集已安装的安全产品列表
“Skitnet是一种多级恶意软件,利用多种编程语言和加密技术,”PRODAFT说。“通过使用Rust进行有效载荷解密和手动映射,然后使用基于nimm的反向壳通过DNS通信,恶意软件试图逃避传统的安全措施。”
Zscaler ThreatLabz披露了另一种名为TransferLoader的恶意软件加载器,该加载器被用来发送一种名为Morpheus的勒索软件,目标是一家美国律师事务所。
TransferLoader至少从2025年2月开始活跃,它包含三个组件,一个下载程序、一个后门程序和一个专门的后门程序加载程序,使威胁参与者能够在受感染的系统上执行任意命令。
虽然下载程序被设计为从C2服务器获取和执行有效负载,同时运行PDF诱饵文件,但后门程序负责运行服务器发出的命令,以及更新自己的配置。
这家网络安全公司表示:“后门利用去中心化的星际文件系统(IPFS)点对点平台作为更新命令与控制(C2)服务器的后备通道。”TransferLoader的开发人员使用混淆方法使逆向工程过程更加繁琐。
原文始发于微信公众号(HackSee):勒索软件团伙使用Skitnet恶意软件进行秘密数据盗窃和远程访问
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论