勒索软件团伙加速部署 Skitnet 新型恶意软件​

勒索软件团伙成员越来越多地使用名为Skitnet（又名“Bossnet”）的新型恶意软件，在已入侵的网络中实施隐蔽的入侵后活动。

该恶意软件自2024年4月起在RAMP等地下论坛出售，但网络安全公司Prodaft的研究人员称，其真正在勒索团伙中流行始于2025年初。Prodaft向BleepingComputer证实，已观察到BlackBasta、Cactus等多个勒索组织在真实攻击中部署Skitnet，例如BlackBasta曾利用该工具通过微软Teams钓鱼攻击渗透企业网络。

Skitnet感染始于在目标系统上投放并执行的Rust语言编写的加载器，该加载器会解密经过ChaCha20算法加密的Nim语言二进制文件，并将其加载至内存运行。Nim模块随后建立基于DNS的反向Shell连接（通过随机生成DNS查询发起），与C2服务器通信。恶意软件启动三个独立线程：

1. 发送心跳DNS请求的线程
2. 监控并外传Shell输出的线程
3. 监听并解密DNS响应指令的线程

通过Skitnet的C2控制面板，攻击者可查看目标IP地址、地理位置和设备状态，并通过HTTP或DNS协议发送执行指令。支持的核心命令包括：

1. startup：通过下载三个文件（含恶意DLL）并在启动文件夹创建指向华硕合法程序ISP.exe的快捷方式实现持久化，触发DLL劫持执行PowerShell脚本pas.ps1维持C2通信。
2. Screen：使用PowerShell截取桌面截图，上传至Imgur图床后向C2发送图片链接。
3. Anydesk：静默安装AnyDesk远程工具并隐藏窗口和通知托盘图标。
4. Rutserv：静默安装另一款合法远程工具RUT-Serv。
5. Shell：启动PowerShell命令循环，每5秒轮询服务器获取新指令并通过Invoke-Expression执行。
6. Av：通过查询WMI（SELECT * FROM AntiVirusProduct in root\SecurityCenter2）枚举已安装杀毒软件信息并回传。

除基础指令外，攻击者还可利用.NET加载器在内存中执行PowerShell脚本，实现更深度的攻击定制。尽管勒索组织常使用低杀毒检出率的定制化工具，但这些工具开发成本高昂且需要稀缺的技术人才（尤其对中小型团伙而言）。使用Skitnet这类现成恶意软件成本更低、部署更快，且多团伙共用可增加溯源难度。Prodaft已在GitHub公开该恶意软件的入侵指标（IoCs）。

消息来源： bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；