Η απειλή του Skitnet: Νέα όπλα στα χέρια των ransomware ομάδων

Η νέα τάση στο κακόβουλο λογισμικό

Το κακόβουλο λογισμικό Skitnet έχει γίνει το νέο εργαλείο στα χέρια των ransomware ομάδων που επιδιώκουν να κλέψουν ευαίσθητα δεδομένα και να αποκτήσουν απομακρυσμένο έλεγχο σε παραβιασμένα συστήματα. Σύμφωνα με την ελβετική εταιρεία κυβερνοασφάλειας PRODAFT, το Skitnet έχει αρχίσει να πωλείται σε υπόγεια φόρουμ όπως το RAMP από τον Απρίλιο του 2024. Ωστόσο, από τις αρχές του 2025, έχει παρατηρηθεί η χρήση του από πολλούς ransomware operators σε πραγματικές επιθέσεις.

Η εκμετάλλευση του Skitnet από τις ransomware ομάδες

Ένα χαρακτηριστικό παράδειγμα είναι η ομάδα Black Basta, η οποία τον Απρίλιο του 2025 χρησιμοποίησε το Skitnet σε phishing καμπάνιες με θέμα το Microsoft Teams, στοχεύοντας επιχειρηματικά περιβάλλοντα. Με τις κρυφές δυνατότητές του και την ευέλικτη αρχιτεκτονική του, το Skitnet φαίνεται να αποκτά γρήγορα έδαφος στο οικοσύστημα του ransomware.

Η τεχνολογία πίσω από το Skitnet

Το Skitnet, γνωστό και ως Bossnet, είναι ένα πολυεπίπεδο κακόβουλο λογισμικό που αναπτύχθηκε από έναν απειλητικό παράγοντα με την ονομασία LARVA-306. Ένα αξιοσημείωτο χαρακτηριστικό αυτού του εργαλείου είναι η χρήση γλωσσών προγραμματισμού όπως η Rust και η Nim για την εκκίνηση ενός reverse shell μέσω DNS, αποφεύγοντας την ανίχνευση. Ενσωματώνει μηχανισμούς επιμονής, εργαλεία απομακρυσμένης πρόσβασης, εντολές για την εξαγωγή δεδομένων και ακόμη και τη δυνατότητα λήψης ενός .NET loader binary που μπορεί να χρησιμοποιηθεί για την παράδοση επιπλέον payloads, καθιστώντας το μια ευέλικτη απειλή.

Η αρχιτεκτονική του Skitnet

Το Skitnet διαφημίστηκε για πρώτη φορά στις 19 Απριλίου 2024 ως ένα “συμπαγές πακέτο” που περιλαμβάνει ένα server component και κακόβουλο λογισμικό. Το αρχικό εκτελέσιμο είναι ένα Rust binary που αποκρυπτογραφεί και εκτελεί ένα ενσωματωμένο payload που έχει συνταχθεί σε Nim. Η κύρια λειτουργία αυτού του Nim binary είναι να δημιουργήσει μια reverse shell σύνδεση με τον C2 (command-and-control) server μέσω DNS resolution.

Η λειτουργία του Skitnet

Για να αποφύγει την ανίχνευση, χρησιμοποιεί τη λειτουργία GetProcAddress για να επιλύσει δυναμικά τις διευθύνσεις των API λειτουργιών αντί να χρησιμοποιεί παραδοσιακούς πίνακες εισαγωγής. Το Nim-based binary ξεκινά πολλαπλά threads για να στέλνει DNS αιτήματα κάθε 10 δευτερόλεπτα, να διαβάζει τις DNS απαντήσεις και να εξάγει εντολές που εκτελούνται στο host, μεταδίδοντας τα αποτελέσματα της εκτέλεσης πίσω στον server. Οι εντολές εκδίδονται μέσω ενός C2 panel που χρησιμοποιείται για τη διαχείριση των μολυσμένων hosts.

Οι δυνατότητες του Skitnet μέσω PowerShell

Ορισμένες από τις υποστηριζόμενες εντολές PowerShell περιλαμβάνουν:

• Startup, που εξασφαλίζει την επιμονή δημιουργώντας συντομεύσεις στον κατάλογο εκκίνησης της συσκευής του θύματος.
• Screen, που καταγράφει ένα στιγμιότυπο της επιφάνειας εργασίας του θύματος.
• Anydesk/Rutserv, που εγκαθιστά νόμιμο λογισμικό απομακρυσμένης επιφάνειας εργασίας όπως το AnyDesk ή το Remote Utilities (“rutserv.exe”).
• Shell, για την εκτέλεση PowerShell scripts που φιλοξενούνται σε απομακρυσμένο server και την αποστολή των αποτελεσμάτων πίσω στον C2 server.
• AV, που συλλέγει μια λίστα με τα εγκατεστημένα προϊόντα ασφάλειας.

Η αποκάλυψη της απειλής

Η αποκάλυψη του Skitnet έρχεται καθώς το Zscaler ThreatLabz ανέλυσε ένα άλλο malware loader με την ονομασία TransferLoader, το οποίο χρησιμοποιείται για την παράδοση μιας ransomware παραλλαγής με την ονομασία Morpheus, στοχεύοντας μια αμερικανική νομική εταιρεία. Το TransferLoader, ενεργό από τον Φεβρουάριο του 2025, περιλαμβάνει τρία συστατικά: έναν downloader, μια backdoor και έναν εξειδικευμένο loader για την backdoor, επιτρέποντας στους απειλητικούς παράγοντες να εκτελούν αυθαίρετες εντολές στο παραβιασμένο σύστημα.

Η στρατηγική του TransferLoader

Ο downloader έχει σχεδιαστεί για να λαμβάνει και να εκτελεί ένα payload από έναν C2 server και ταυτόχρονα να εκτελεί ένα PDF αρχείο παραπλάνησης. Η backdoor είναι υπεύθυνη για την εκτέλεση εντολών που εκδίδονται από τον server, καθώς και για την ενημέρωση της δικής της διαμόρφωσης. Η backdoor χρησιμοποιεί την αποκεντρωμένη πλατφόρμα InterPlanetary File System (IPFS) ως εναλλακτικό κανάλι για την ενημέρωση του C2 server.

Οι προγραμματιστές του TransferLoader χρησιμοποιούν μεθόδους απόκρυψης για να κάνουν τη διαδικασία αντίστροφης μηχανικής πιο επίπονη.