Специалисты по кибербезопасности компании Prodaft зафиксировали тревожную тенденцию: вымогательские группировки активно внедряют новое вредоносное ПО Skitnet (также известное как Bossnet) для проведения постэксплуатационных действий в скомпрометированных системах. Первые упоминания этой малвари на хакерских форумах появились в апреле 2024 года, а к началу 2025 года инструмент получил широкое распространение среди киберпреступников.
Техническая архитектура и принцип работы Skitnet
Вредоносное ПО использует многоступенчатую систему заражения. На первом этапе на целевой машине запускается загрузчик, написанный на языке Rust. Его основная задача – расшифровка и загрузка в память бинарного файла, созданного на языке Nim, с использованием алгоритма шифрования ChaCha20. После активации полезная нагрузка устанавливает скрытый канал связи с командным центром через DNS-туннелирование.
Особенности работы и функциональные возможности
Малварь реализует трехпоточную архитектуру для обеспечения стабильной работы: первый поток отвечает за отправку сигнальных DNS-запросов, второй осуществляет мониторинг и сбор данных, третий занимается обработкой зашифрованных команд из DNS-ответов. Операторы получают доступ к панели управления, где могут отслеживать IP-адреса целей, их геолокацию и текущий статус системы.
Преимущества для киберпреступников
Популярность Skitnet среди вымогательских группировок, включая известные BlackBasta и Cactus, обусловлена несколькими факторами. Во-первых, использование готового решения существенно снижает затраты на разработку собственных инструментов. Во-вторых, стандартизированное решение упрощает процесс развертывания атак. В-третьих, широкое распространение малвари затрудняет атрибуцию конкретных атак определенным группировкам.
Расширенные возможности для атак
Дополнительную опасность представляет интеграция загрузчика .NET, позволяющего выполнять PowerShell-скрипты непосредственно в памяти системы. Это предоставляет злоумышленникам возможности для глубокой кастомизации атак и усложняет обнаружение вредоносной активности традиционными средствами защиты.
В целях противодействия угрозе исследователи Prodaft опубликовали индикаторы компрометации на платформе GitHub. Специалисты по информационной безопасности рекомендуют организациям усилить мониторинг DNS-трафика и обновить системы обнаружения вторжений с учетом новых индикаторов угроз.
