勒索软件团伙越来越多地使用Skitnet剥削后恶意软件

勒索软件团伙成员越来越多地使用一种名为Skitnet(“Bossnet”)的新恶意软件,在被破坏的网络上进行隐秘的剥削后活动。

自2024年4月以来,该恶意软件已在RAMP等地下论坛上出售,但根据Prodaft研究人员的说法,自2025年初以来,它开始在勒索软件团伙中获得显着的吸引力。

Prodaft告诉BleepingComputer,他们观察到多个勒索软件操作在现实世界中部署了Skitnet,包括Microsoft Teams针对企业的网络钓鱼攻击中的BlackBasta和Cactus。

隐身和强大的后门

Skitnet感染始于基于Rust的加载器在目标系统上下放并执行,该系统解密了ChaCha20加密的Nim二进制文件并将其加载到内存中。

Nim 有效载荷建立了一个基于 DNS 的反向外壳,用于与命令和控制 (C2) 服务器通信,通过随机 DNS 查询启动会话。

恶意软件启动三个线程,一个用于发送心跳DNS请求,一个用于监视和泄露shell输出,一个用于侦听和解密DNS响应的命令。

要执行的通信和命令通过 HTTP 或 DNS 发送,基于通过 Skitnet C2 控制面板发出的命令。C2 面板允许操作员查看目标的 IP、位置、状态和发出执行命令。

支持的命令有:

• startup –
  
   通过下载三个文件(包括恶意DLL)并在启动文件夹中创建合法华硕可执行文件(ISP.exe)的快捷方式来建立持久性。这触发了执行PowerShell脚本(pas.ps1)以进行持续C2通信的DLL劫持。
• 屏幕
  
   – 使用 PowerShell 捕获受害者桌面的屏幕截图,将其上传到 Imgur,然后将图像 URL 发送回 C2 服务器。
• Anydesk 
  
  Anydesk – 下载并默默地安装AnyDesk,一个合法的远程访问工具,同时隐藏窗口和通知托盘图标。
• Rutserv
  
   – 下载并默默地安装RUT-Serv,另一个合法的远程访问工具。
• Shell
  
   – 启动 PowerShell 命令循环。发送初始“壳牌开始……”消息,然后反复投票(?m) 使用 Invoke-Expression 执行的新命令,服务器每 5 秒一次,并发送结果。
• Av
  
   – 通过查询 WMI(在 rootSecurityCenter2 命名空间中的 SELECT * FROM AntiVirusProduct ) 来枚举已安装的防病毒和安全软件。将结果发送到 C2 服务器。

除了核心命令集之外,操作人员还可以利用涉及 .NET加载器,允许他们在内存中执行PowerShell脚本,以进行更深入的攻击定制。

虽然勒索软件组经常使用针对特定操作量身定制的定制工具,并且具有低AV检测,但这些开发成本高昂,并且需要技术娴熟的开发人员,这些开发人员并不总是可用的,特别是在低层组中。

使用像Skitnet这样的现成恶意软件更便宜,部署速度更快,并且可以使归因更加困难,因为许多威胁行为者使用它。

在勒索软件领域,这两种方法都有空间,甚至是两者的混合,但Skitnet的功能使其特别吸引黑客。

Prodaft 在其 GitHub 存储库中发布了与 Skitnet 相关的折衷指标 (IoCs)。