Весной 2024 года мир столкнулся с новой волной угроз в области киберпространства: появился инструмент Skitnet, известный также как «Bossnet». Этот вредонос быстро завоевал популярность среди преступных сообществ, став популярным инструментом шантажистов и группировок вымогателей.
Skitnet способен внедряться непосредственно в оперативную память компьютера, минуя запись на жёсткий диск, благодаря использованию библиотеки DInvoke-rs. Эта особенность значительно снижает вероятность раннего выявления угрозы традиционными методами защиты.
Для связи с управляющими серверами применяется уникальный механизм передачи данных через запросы DNS. Благодаря этому становится возможным замаскировать активность программы под обычный сетевой трафик, обходя фильтры безопасности.
Вместе с «ISP.exe» устанавливается вредоносная библиотека «SnxHidLib.DLL» и скрипт «pas.ps1» на PowerShell, которые обеспечивают соединение с сервером злоумышленника. Таким образом, программа получает возможность долго оставаться незамеченной внутри сети организации-жертвы.
Следующий шаг - создание ярлыка на «ISP.exe» в папке автозагрузки Windows. При перезагрузке система запускает файл, который подключает библиотеку. DLL активирует скрытый PowerShell-скрипт, восстанавливая связь с сервером и гарантируя длительное пребывание в системе.
Появление Skitnet стало ярким примером изменения ситуации в мире кибератак. Современные инструменты позволяют небольшим группировкам получать значительные преимущества над крупными организациями, повышая риски утраты важных данных и увеличения числа жертв финансовых преступлений. Эффективная защита требует интеграции комплексных решений, направленных на мониторинг поведения приложений и выявление аномалий на ранних этапах проникновения.
Архитектура
Skitnet представляет собой многослойный вредоносный инструмент, построенный на языках программирования Rust и Nim. Такой подход затрудняет детектирование антивирусными системами и обеспечивает большую гибкость атакующим.Skitnet способен внедряться непосредственно в оперативную память компьютера, минуя запись на жёсткий диск, благодаря использованию библиотеки DInvoke-rs. Эта особенность значительно снижает вероятность раннего выявления угрозы традиционными методами защиты.
Для связи с управляющими серверами применяется уникальный механизм передачи данных через запросы DNS. Благодаря этому становится возможным замаскировать активность программы под обычный сетевой трафик, обходя фильтры безопасности.
Процесс заражения
При активации вредоносного файла на компьютере создается новая директория «C:\ProgramData\huo», куда скачиваются дополнительные компоненты, один из которых является легитимный файл «ISP.exe». Присутствие цифрового сертификата у этого файла позволяет скрыть истинную природу происходящего процесса, поскольку большинство систем доверяют такому ПО.Вместе с «ISP.exe» устанавливается вредоносная библиотека «SnxHidLib.DLL» и скрипт «pas.ps1» на PowerShell, которые обеспечивают соединение с сервером злоумышленника. Таким образом, программа получает возможность долго оставаться незамеченной внутри сети организации-жертвы.
Следующий шаг - создание ярлыка на «ISP.exe» в папке автозагрузки Windows. При перезагрузке система запускает файл, который подключает библиотеку. DLL активирует скрытый PowerShell-скрипт, восстанавливая связь с сервером и гарантируя длительное пребывание в системе.
Появление Skitnet стало ярким примером изменения ситуации в мире кибератак. Современные инструменты позволяют небольшим группировкам получать значительные преимущества над крупными организациями, повышая риски утраты важных данных и увеличения числа жертв финансовых преступлений. Эффективная защита требует интеграции комплексных решений, направленных на мониторинг поведения приложений и выявление аномалий на ранних этапах проникновения.