Ransomware συμμορίες χρησιμοποιούν το Skitnet malware

Ένα νέο malware, γνωστό ως Skitnet ή αλλιώς “Bossnet”, κερδίζει έδαφος στα σκοτεινά φόρουμ του κυβερνοεγκλήματος, με ολοένα και περισσότερες συμμορίες ransomware να το υιοθετούν για να ενισχύσουν τη δράση τους σε ήδη παραβιασμένα δίκτυα. Το Skitnet κυκλοφορεί προς πώληση από τον Απρίλιο του 2024 στο υπόγειο φόρουμ RAMP. Όμως σύμφωνα με την Prodaft, οι συμμορίες ransomware άρχισαν να το χρησιμοποιούν από τις αρχές του 2025.

Η Prodaft αναφέρει ότι το κακόβουλο λογισμικό έχει αξιοποιηθεί σε επιθέσεις από γνωστές ομάδες, όπως οι BlackBasta και Cactus.

Advertisement

Πώς λειτουργεί το Skitnet malware

Τα συστήματα μολύνονται με το Skitnet μέσω ενός Rust-based loader, που εγκαθίσταται στον στόχο, αποκρυπτογραφεί ένα ChaCha20 encrypted Nim binary και το φορτώνει στη μνήμη.

Δείτε επίσης: Phishing emails διανέμουν το Horabot malware στη Λατινική Αμερική

Μόλις ενεργοποιηθεί, το Nim payload εγκαθιστά ένα DNS-based reverse shell, επιτρέποντας αθόρυβη επικοινωνία με τον διακομιστή εντολών και ελέγχου (C2). Χρησιμοποιεί παραπλανητικά, τυχαία DNS queries.

Το malware ξεκινά τρία threads για:

• αποστολή heartbeat DNS requests
• παρακολούθηση και εξαγωγή shell output
• ακρόαση και αποκρυπτογράφηση εντολών από DNS responses

Οι εντολές και οι ρυθμίσεις μεταφέρονται είτε μέσω DNS είτε μέσω HTTP, βάσει εντολών που εκδίδονται μέσω του Skitnet C2 control panel. Το C2 panel προσφέρει στους επιτιθέμενους πληροφορίες όπως διευθύνσεις IP, τοποθεσία στόχων, κατάσταση σύνδεσης και δυνατότητα απομακρυσμένης εκτέλεσης εντολών.

Οι εντολές του Skitnet malware: Πλήρης απομακρυσμένος έλεγχος

Το κακόβουλο λογισμικό Skitnet συνοδεύεται από ένα ισχυρό ρεπερτόριο εντολών που παρέχουν στους κυβερνοεγκληματίες πλήρη έλεγχο των συστημάτων που έχουν παραβιαστεί, με έμφαση στη διακριτική παρουσία και τη συνεχή επικοινωνία με τους servers εντολών και ελέγχου (C2).

Δείτε επίσης: ClickFix: Οι hackers COLDRIVER διανέμουν το malware LOSTKEYS

Βασικές λειτουργίες του Skitnet

• startup : Δημιουργεί persistence στο σύστημα, κατεβάζοντας τρία αρχεία —μεταξύ των οποίων και ένα κακόβουλο DLL— και δημιουργεί ένα shortcut σε ένα νόμιμο Asus executable (ISP.exe) στον Startup folder. Αυτό ενεργοποιεί την τεχνική DLL hijacking για να εκτελεί PowerShell script (pas.ps1) και να διατηρεί σύνδεση με τον C2.
• Screen: Τραβάει στιγμιότυπα οθόνης του χρήστη μέσω PowerShell, τα ανεβάζει στο Imgur και επιστρέφει το image URL στον server ελέγχου, παρέχοντας στους επιτιθέμενους εικόνα του τι συμβαίνει στην επιφάνεια εργασίας του θύματος.
• Anydesk: Κατεβάζει και εγκαθιστά αθόρυβα την εφαρμογή AnyDesk, γνωστό εργαλείο απομακρυσμένης πρόσβασης. Το παράθυρο και το εικονίδιο συστήματος παραμένουν κρυφά για αποφυγή εντοπισμού.
• Rutserv: Χρησιμοποιεί την ίδια προσέγγιση για την εγκατάσταση του RUT-Serv, ενός ακόμη νόμιμου εργαλείου για απομακρυσμένο έλεγχο, το οποίο ενσωματώνεται αθόρυβα στο σύστημα-στόχο.
• Shell: Εκκινεί ένα PowerShell command loop. Στέλνει ένα αρχικό μήνυμα “Shell started..”, στη συνέχεια επικοινωνεί επανειλημμένα με τον διακομιστή για νέες εντολές, τις οποίες εκτελεί χρησιμοποιώντας την Invoke-Expression. Τελικά, στέλνει τα αποτελέσματα πίσω.
• AV: Σαρώνει το σύστημα για λογισμικά antivirus, αποστέλλοντας πίσω τις πληροφορίες για το είδος και την κατάσταση της εγκατεστημένης προστασίας.

Extra όπλο: .NET loader για in-memory εκτέλεση

Πέρα από τις προεγκατεστημένες εντολές, το Skitnet περιλαμβάνει και ένα .NET loader, δίνοντας στους επιτιθέμενους τη δυνατότητα να φορτώνουν και να εκτελούν δυναμικά PowerShell scripts απευθείας στη μνήμη του υπολογιστή, αποφεύγοντας την καταγραφή στο δίσκο και ενισχύοντας τη μυστικότητα της επίθεσης.

Με την ολοένα αυξανόμενη χρήση του από ransomware οργανώσεις, το Skitnet malware δεν αποτελεί απλώς εργαλείο post-exploitation, αλλά μια πλήρη πλατφόρμα απομακρυσμένης επιτήρησης και ελέγχου, σχεδιασμένη για να παραμένει αόρατη και εξαιρετικά αποτελεσματική.

Παραδοσιακά, οι ransomware ομάδες προτιμούν να αναπτύσσουν custom εργαλεία σχεδιασμένα στα μέτρα των επιχειρησιακών τους στόχων, εξασφαλίζοντας χαμηλή ανιχνευσιμότητα από λογισμικά ασφαλείας. Ωστόσο, η δημιουργία τέτοιων λύσεων είναι χρονοβόρα, κοστίζει ακριβά και απαιτεί υψηλής εξειδίκευσης προγραμματιστές – πόροι που δεν είναι πάντοτε διαθέσιμοι, ιδίως για λιγότερο οργανωμένες ομάδες του υποκόσμου.

Δείτε επίσης: Ψεύτικο Discord PyPI Package περιέχει malware

Σε αυτό το κενό έρχεται να απαντήσει το Skitnet, ένα έτοιμο προς χρήση κακόβουλο λογισμικό που κυκλοφορεί σε underground forums, προσφέροντας ισχυρά χαρακτηριστικά με χαμηλό κόστος και άμεση διαθεσιμότητα. Η χρήση ενός off-the-shelf malware, όπως το Skitnet, μειώνει δραστικά τον χρόνο ανάπτυξης και δυσκολεύει τον εντοπισμό των υπευθύνων, καθώς μπορεί να αξιοποιείται ταυτόχρονα από πολλούς διαφορετικούς threat actors.

Η ερευνητική ομάδα της Prodaft έχει ήδη δημοσιεύσει σχετικούς δείκτες παραβίασης (IoCs) στο GitHub, δίνοντας στους ειδικούς ασφαλείας εργαλεία για την ταυτοποίηση και ανάλυση της δραστηριότητας του Skitnet στο πεδίο.

Προστασία από malware

• Εκπαίδευση χρηστών σχετικά με τις τακτικές social engineering και τις επιθέσεις phishing
• Εγκατάσταση (και ενημέρωση) λογισμικού προστασίας από ιούς και κακόβουλο λογισμικό σε όλα τα τελικά σημεία
• Εφαρμογή ισχυρών email filters για αποκλεισμό phishing emails και κακόβουλων συνημμένων
• Χρήση firewalls και συστημάτων ανίχνευσης/πρόληψης εισβολών (IDS/IPS)
• Τμηματοποίηση δικτύου για περιορισμό εξάπλωσης του κακόβουλου λογισμικού
• Εφαρμογή της αρχής του ελάχιστου προνομίου (PoLP), για πρόσβαση των χρηστών μόνο στους απαραίτητους πόρους
• Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA)
• Ενημέρωση λειτουργικών συστημάτων, λογισμικού και εφαρμογών
• Κρυπτογράφηση ευαίσθητων δεδομένων
• Συνεχής παρακολούθηση και ανάλυση αρχείων καταγραφής του συστήματος και του δικτύου
• Δημιουργία αντιγράφων ασφαλείας σημαντικών δεδομένων

Πηγή: www.bleepingcomputer.com