Cybersicherheitsexperten von Prodaft haben eine besorgniserregende Entwicklung identifiziert: Die neue Malware Skitnet (auch als Bossnet bekannt) gewinnt seit ihrer ersten Entdeckung im April 2024 rasant an Bedeutung in der Cyberkriminalität. Besonders Ransomware-Gruppen setzen verstärkt auf dieses hochentwickelte Tool für Post-Exploitation-Aktivitäten in kompromittierten Systemen.
Innovative Technische Architektur von Skitnet
Die Malware zeichnet sich durch einen mehrstufigen Infektionsprozess aus. Initial wird ein in Rust programmierter Loader auf dem Zielsystem ausgeführt, der mittels ChaCha20-Verschlüsselung eine in Nim geschriebene Payload entschlüsselt und in den Arbeitsspeicher lädt. Anschließend etabliert die Schadsoftware einen verdeckten Kommunikationskanal zum Command-and-Control-Server durch DNS-Tunneling.
Fortschrittliche Funktionalität und Steuerung
Die technische Implementierung basiert auf einer dreifach parallelen Prozessarchitektur: Ein Thread übernimmt die Übermittlung von DNS-Anfragen, ein zweiter ist für System-Monitoring zuständig, während der dritte verschlüsselte Befehle aus DNS-Antworten verarbeitet. Die Angreifer können über ein Dashboard IP-Adressen, Standortdaten und Systemstatus ihrer Ziele in Echtzeit überwachen.
Strategische Vorteile für Cyberkriminelle
Namhafte Ransomware-Gruppen wie BlackBasta und Cactus haben Skitnet in ihr Arsenal aufgenommen. Die Attraktivität der Malware liegt in der Kosteneffizienz durch die Nutzung einer fertigen Lösung, der vereinfachten Angriffskoordination sowie der erschwerten Attribution durch die weite Verbreitung des Tools.
Erweiterte Angriffsmöglichkeiten durch .NET-Integration
Ein besonders kritischer Aspekt ist die Integration eines .NET-Loaders, der die direkte Ausführung von PowerShell-Skripten im Arbeitsspeicher ermöglicht. Diese Funktion erlaubt Angreifern die individuelle Anpassung ihrer Attacken und umgeht dabei effektiv traditionelle Sicherheitsmechanismen.
Zur Unterstützung von Sicherheitsteams haben die Prodaft-Forscher aktuelle Indicators of Compromise (IoCs) auf GitHub veröffentlicht. Organisationen wird dringend empfohlen, ihre DNS-Traffic-Überwachung zu intensivieren und ihre Intrusion Detection Systeme mit den neuesten Bedrohungsindikatoren zu aktualisieren. Die Implementation mehrschichtiger Sicherheitsmaßnahmen und regelmäßige Security-Audits sind essentiell, um dieser evolvierten Bedrohung effektiv zu begegnen.
