Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Для постэксплуатации все чаще используется малварь Skitnet

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 05-26-2025, 12:05 PM
WWW's Avatar

WWW WWW is offline
Junior Member
Join Date: Mar 2024
Posts: 14
Default


Эксперты предупредили, что вымогательские группировки все чаще используют новую малварь Skitnet (она же Bossnet) для постэксплуатации в скомпрометированных сетях.



Как сообщают аналитики компании Prodaft, вредонос рекламируется на хак-форумах с апреля 2024 года и начал набирать популярность среди вымогателей в начале 2025 года. К примеру, Skitnet в своих атаках уже использовали операторы BlackBasta и Cactus.













Реклама Skitnet

Заражение Skitnet начинается с запуска на целевой машине написанного на Rust загрузчика, который расшифровывает бинарник Nim с шифрованием ChaCha20 и загружает его в память. Полезная нагрузка Nim создает реверс-шелл на основе DNS для связи с управляющим сервером, инициируя сессию с помощью случайных DNS-запросов.



После этого малварь запускает три потока: один для отправки сигнальных DNS-запросов, другой для мониторинга и извлечения шелл-вывода, и еще один для прослушивания и расшифровки команд из DNS-ответов.



Сообщения и команды на выполнение отправляются посредством HTTP или DNS на основе команд, отправленных через панель управления Skitnet. В этой панели оператор может видеть IP-адрес цели, ее местоположение, статус и отдавать команды на выполнение.







Вредонос поддерживает следующие команды:
  • startup — закрепление в системе с помощью загрузки трех файлов (включая вредоносную DLL) и создания ярлыка для легитимного исполняемого файла Asus (ISP.exe) в папке Startup. Это запускает перехват DLL, который выполняет PowerShell-скрипт pas.ps1 для постоянной связи с управляющим сервером;

  • Screen — с помощью PowerShell создается скриншот рабочего стола жертвы, загружается на Imgur, а затем URL-адрес изображения передается на управляющий сервер;

  • Anydesk — загружает и незаметно устанавливает инструмент для удаленного доступа AnyDesk, скрывая при этом окно и иконку в трее;

  • Rutserv — загружает и тихо устанавливает инструмент удаленного доступа RUT-Serv;

  • Shell — запускает цикл PowerShell-команд. Отправляет начальное сообщение «Shell started...», затем каждые 5 секунд опрашивает (?m) сервер для получения новых команд, которые выполняются с помощью Invoke-Expression, после чего результаты отправляются обратно;

  • Av — перечисляет установленное на машине антивирусное и защитное ПО путем опроса WMI (SELECT * FROM AntiVirusProduct в пространстве имен root\SecurityCenter2). Результаты отправляются на управляющий сервер.

Помимо этих команд операторы Skitnet могут использовать возможности загрузчика .NET, что позволяет выполнять в памяти скрипты PowerShell для еще более глубокой кастомизации атак.







Специалисты отмечают, что хотя вымогательские группировки часто используют собственные инструменты, адаптированные под конкретные операции и плохо обнаруживаемые антивирусами, их разработка обходится недешево и требует привлечения квалифицированных разработчиков, которые не всегда доступны.



Использование готовой малвари, подобной Skitnet, обходится дешевле, позволяет быстрее осуществить развертывание и затрудняет атрибуцию, поскольку этого вредоноса используют многие злоумышленники.



Исследователи Prodaft опубликовали связанные со Skitnet индикаторы компрометации на GitHub.



@ xakep.ru
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 07:37 PM.

Contact Us - Carder.life - Archive - Top