В 2025 году на фоне активных действий правоохранительных органов и сбоев в работе крупных ботнетов в киберпространстве выросла популярность вредоносного ПО Skitnet, также известного как Bossnet. Этот универсальный инструмент для программ-вымогателей завоевал широкое распространение среди хакерских группировок благодаря своей доступности и продвинутым возможностям, выходящим за рамки типичных вредоносных программ.
Происхождение и распространение Skitnet
Skitnet впервые появился на подпольных форумах, таких как RAMP, в апреле 2024 года. Его автором называют хакера с псевдонимом LARVA-306. Вредоносное ПО было спроектировано с прицелом на простоту использования преступниками разного уровня квалификации, что обеспечивается наличием серверной панели управления.
- Основные особенности Skitnet — автоматизированное развертывание и механизмы удаления логов, препятствующие криминалистической экспертизе.
- Рост популярности связан с нарушением работы традиционных ботнетов и усилением спроса на эффективные инструменты программ-вымогателей.
- Крупные группы, в том числе Black Basta и Cactus, широко используют Skitnet в фишинговых кампаниях, направленных на корпоративных пользователей, включая команды Microsoft.
Технические особенности и методы заражения
Процесс заражения Skitnet включает многоступенчатую схему, начиная с первоначального доступа, часто достигнутого с помощью фишинга или использования скомпрометированных учетных данных.
Технические детали работы вредоносного ПО:
- Загрузчик написан на Rust и отвечает за расшифровку и запуск основного двоичного файла, написанного на Nim, непосредственно в оперативной памяти — что усложняет обнаружение традиционными AV-системами.
- Создается скрытая обратная оболочка на базе DNS, в которой команды и ответы инкапсулируются в DNS-запросах, что маскирует трафик под легитимный.
- Модульная архитектура предусматривает динамическое разрешение API, выполнение в памяти и использование редких языков программирования для повышения скрытности.
Функциональность и возможности эксплуатации
После внедрения Skitnet предлагает широкий спектр возможностей в постэксплуатационный период:
- Снятие скриншотов экрана и установка скрытых средств удаленного доступа.
- Извлечение конфиденциальных данных для последующего двойного вымогательства.
- Использование техник долговременного присутствия: перехват DLL-библиотек, запланированные PowerShell-сценарии.
- Возможность восстановления доступа даже после устранения уязвимостей, что значительно усложняет работу операторам безопасности.
Угроза и рекомендации по защите
Демократизация Skitnet через подпольные форумы расширяет круг возможных злоумышленников, делая атаки с использованием этого инструмента более частыми и изощрёнными.
Эксперты по кибербезопасности советуют организациям применять комплексную защиту:
- Мониторинг DNS-трафика для выявления аномалий, характерных для C2-оболочек.
- Использование решений EDR (Endpoint Detection and Response) для раннего обнаружения и реагирования на вредоносную активность.
- Ограничение полномочий для выполнения PowerShell-сценариев и мониторинг их использования.
- Регулярное обновление программного обеспечения и патчей.
- Повышение осведомленности сотрудников для противодействия фишинговым атакам.
- Внедрение модели безопасности с нулевым уровнем доверия (Zero Trust).
Учитывая, что Skitnet остается в ходу у нескольких групп программ-вымогателей, организациям необходимо не только понимать технические детали функционирования этого ПО, но и внедрять проактивные меры для эффективной защиты цифровых активов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ угрозы Skitnet: новая волна программ-вымогателей 2025 года".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.