勒索软件团伙成员越来越多地使用一种名为 Skitnet(“Bossnet”)的新恶意软件在被攻破的网络上执行隐秘的后利用活动。
该恶意软件自 2024 年 4 月起就在 RAMP 等地下论坛上出售,但据Prodaft 研究人员称,自 2025 年初以来,它开始在勒索软件团伙中获得显著关注。
Prodaft 告诉 BleepingComputer,他们已经观察到多个勒索软件操作在现实世界的攻击中部署了 Skitnet,包括针对企业的 Microsoft Teams 网络钓鱼攻击中的 BlackBasta 和 Cactus。
Skitnet 感染始于在目标系统上放置并执行基于 Rust 的加载器,该加载器解密 ChaCha20 加密的 Nim 二进制文件并将其加载到内存中。
Nim 有效负载建立基于 DNS 的反向 shell,用于与命令和控制 (C2) 服务器进行通信,并使用随机 DNS 查询启动会话。
该恶意软件启动三个线程,一个用于发送心跳 DNS 请求,一个用于监视和泄露 shell 输出,一个用于监听和解密来自 DNS 响应的命令。
通信和待执行的命令通过 HTTP 或 DNS 发送,基于 Skitnet C2 控制面板发出的命令。C2 面板允许操作员查看目标的 IP、位置、状态,并发出要执行的命令。
startup - 通过下载三个文件(包括一个恶意 DLL)并在 Startup 文件夹中创建指向合法华硕可执行文件 (ISP.exe) 的快捷方式来建立持久性。这会触发 DLL 劫持,从而执行 PowerShell 脚本 (pas.ps1) 以进行持续的 C2 通信。
屏幕- 使用 PowerShell 捕获受害者桌面的屏幕截图,将其上传到 Imgur,然后将图像 URL 发送回 C2 服务器。
Anydesk – 下载并静默安装合法的远程访问工具 AnyDesk,同时隐藏窗口和通知托盘图标。
Rutserv – 下载并静默安装另一个合法的远程访问工具 RUT-Serv。
Shell – 启动 PowerShell 命令循环。首先发送一条“Shell started..”消息,然后每 5 秒重复轮询 (?m) 服务器,查找新的命令,并使用 Invoke-Expression 执行这些命令,并返回结果。
Av – 通过查询 WMI(在 rootSecurityCenter2 命名空间中从 AntiVirusProduct 中选择 *)枚举已安装的防病毒和安全软件。将结果发送到 C2 服务器。
除了核心命令集之外,操作员还可以利用涉及 .NET 加载器的单独功能,这使得他们在内存中执行 PowerShell 脚本,从而实现更深层次的攻击定制。
尽管勒索软件团体经常使用针对特定操作定制的工具,并且 AV 检测率较低,但这些工具的开发成本很高,并且需要熟练的开发人员,而这些开发人员并不总是可用的,尤其是在较低级别的团体中。
使用像 Skitnet 这样的现成恶意软件更便宜、部署更快,并且会使归因变得更加困难,因为许多威胁行为者都会使用它。
在勒索软件领域,两种方法都有存在的空间,甚至可以混合使用,但 Skitnet 的功能对黑客来说特别有吸引力。
Prodaft 在其GitHub 存储库上发布了与 Skitnet 相关的妥协指标 (IoC) 。
原文始发于微信公众号(犀牛安全):勒索软件团伙越来越多地使用 Skitnet 后利用恶意软件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4160050.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论