Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Для постэксплуатации все чаще используется малварь Skitnet (http://txgate.io:443/showthread.php?t=51297301)

WWW 05-26-2025 12:05 PM
<div id="post_message_792549">

Эксперты <a href="https://catalyst.prodaft.com/public/report/skitnet/overview" target="_blank">предупредили</a>, что вымогательские группировки все чаще используют новую малварь Skitnet (она же Bossnet) для постэксплуатации в скомпрометированных сетях.<br/>
<br/>
Как сообщают аналитики компании Prodaft, вредонос рекламируется на хак-форумах с апреля 2024 года и начал набирать популярность среди вымогателей в начале 2025 года. К примеру, Skitnet в своих атаках уже использовали операторы BlackBasta и Cactus.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512613/ad1.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Реклама Skitnet

</td>
</tr>
</table>
</div>Заражение Skitnet начинается с запуска на целевой машине написанного на Rust загрузчика, который расшифровывает бинарник Nim с шифрованием ChaCha20 и загружает его в память. Полезная нагрузка Nim создает реверс-шелл на основе DNS для связи с управляющим сервером, инициируя сессию с помощью случайных DNS-запросов.<br/>
<br/>
После этого малварь запускает три потока: один для отправки сигнальных DNS-запросов, другой для мониторинга и извлечения шелл-вывода, и еще один для прослушивания и расшифровки команд из DNS-ответов.<br/>
<br/>
Сообщения и команды на выполнение отправляются посредством HTTP или DNS на основе команд, отправленных через панель управления Skitnet. В этой панели оператор может видеть IP-адрес цели, ее местоположение, статус и отдавать команды на выполнение.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512613/panel1.jpg"/><br/>
<br/>
Вредонос поддерживает следующие команды:<ul><li><b>startup</b> — закрепление в системе с помощью загрузки трех файлов (включая вредоносную DLL) и создания ярлыка для легитимного исполняемого файла Asus (ISP.exe) в папке Startup. Это запускает перехват DLL, который выполняет PowerShell-скрипт pas.ps1 для постоянной связи с управляющим сервером;</li>
</ul><ul><li><b>Screen</b> — с помощью PowerShell создается скриншот рабочего стола жертвы, загружается на Imgur, а затем URL-адрес изображения передается на управляющий сервер;</li>
</ul><ul><li><b>Anydesk</b> — загружает и незаметно устанавливает инструмент для удаленного доступа AnyDesk, скрывая при этом окно и иконку в трее;</li>
</ul><ul><li><b>Rutserv</b> — загружает и тихо устанавливает инструмент удаленного доступа RUT-Serv;</li>
</ul><ul><li><b>Shell</b> — запускает цикл PowerShell-команд. Отправляет начальное сообщение «Shell started...», затем каждые 5 секунд опрашивает (?m) сервер для получения новых команд, которые выполняются с помощью Invoke-Expression, после чего результаты отправляются обратно;</li>
</ul><ul><li><b>Av</b> — перечисляет установленное на машине антивирусное и защитное ПО путем опроса WMI (SELECT * FROM AntiVirusProduct в пространстве имен root\SecurityCenter2). Результаты отправляются на управляющий сервер.</li>
</ul>Помимо этих команд операторы Skitnet могут использовать возможности загрузчика .NET, что позволяет выполнять в памяти скрипты PowerShell для еще более глубокой кастомизации атак.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512613/netloader.jpg"/><br/>
<br/>
Специалисты отмечают, что хотя вымогательские группировки часто используют собственные инструменты, адаптированные под конкретные операции и плохо обнаруживаемые антивирусами, их разработка обходится недешево и требует привлечения квалифицированных разработчиков, которые не всегда доступны.<br/>
<br/>
Использование готовой малвари, подобной Skitnet, обходится дешевле, позволяет быстрее осуществить развертывание и затрудняет атрибуцию, поскольку этого вредоноса используют многие злоумышленники.<br/>
<br/>
Исследователи Prodaft опубликовали связанные со Skitnet индикаторы компрометации на <a href="https://github.com/prodaft/malware-ioc/tree/master/Skitnet" target="_blank">GitHub</a>.<br/>
<br/>
<a href="https://xakep.ru/2025/05/20/skitnet/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 06:54 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.