Fidye yazılımı çeteleri giderek daha fazla Skitnet Sıkıştırma Sonrası Kötü Yazılım


Fidye yazılımı

Fidye yazılımı çete üyeleri, ihlal edilen ağlarda gizli sisat sonrası faaliyetler gerçekleştirmek için Skitnet (“Bossnet”) adlı yeni bir kötü amaçlı yazılım kullanıyor.

Kötü amaçlı yazılım, Nisan 2024’ten bu yana Rampa gibi yeraltı forumlarında satışa sunuldu, ancak Prodaft araştırmacılarına göre, 2025’in başından beri fidye yazılımı çeteleri arasında önemli bir çekiş kazanmaya başladı.

Prodaft, BleepingComputer’a, Microsoft Teams’de Blackbasta dahil olmak üzere Blackbasta dahil olmak üzere gerçek dünya saldırılarında Skitnet dağıtan birden fazla fidye yazılımı işlemini gözlemlediklerini söyledi.

Yeraltı forumlarında tanıtılan kötü amaçlı yazılım
Yeraltı forumlarında tanıtılan kötü amaçlı yazılım
Kaynak: Prodaft

Gizli ve güçlü arka kapı

Skitnet enfeksiyonu, Chacha20 şifreli bir NIM ikili şifresini çözen ve belleğe yükleyen hedef sistemde düşürülen ve yürütülen pas bazlı bir yükleyici ile başlar.

NIM yükü, komut ve kontrol (C2) sunucusu ile iletişim için DNS tabanlı bir ters kabuk oluşturur ve oturumu randomize DNS sorguları ile başlatır.

Kötü amaçlı yazılım, biri kalp atışı DNS istekleri göndermek için, biri kabuk çıkışını izlemek ve eksfiltrasyon yapmak için ve diğeri DNS yanıtlarından komutları dinlemek ve şifresini çözmek için üç iş parçacığı başlatır.

İletişim ve yürütülecek komutlar, Skitnet C2 Kontrol Paneli aracılığıyla verilen komutlara dayanarak HTTP veya DNS aracılığıyla gönderilir. C2 paneli, operatörün hedefin IP’sini, konumunu, durumunu ve yürütme için sorun komutlarını görmesini sağlar.

Dirtnet'in Yönetici Paneli
Dirtnet’in Yönetici Paneli
Kaynak: Prodaft

Desteklenen komutlar:

  • başlatmak – Üç dosya (kötü amaçlı DLL dahil) indirerek ve başlangıç ​​klasöründe meşru bir ASUS yürütülebilir dosyasına (ISP.EXE) kısayol oluşturarak kalıcılık oluşturur. Bu, devam eden C2 iletişimi için bir PowerShell komut dosyası (PAS.PS1) yürüten bir DLL kaçırmayı tetikler.
  • Ekran – PowerShell’i kullanarak kurbanın masaüstünün bir ekran görüntüsünü yakalar, imgur’a yükler ve görüntü URL’sini C2 sunucusuna geri gönderir.
  • Anydesk – Pencereyi ve bildirim tepsisi simgesini gizlerken meşru bir uzaktan erişim aracı olan AnyDesk’i indirir ve sessizce yükler.
  • Rutserv -Başka bir meşru uzaktan erişim aracı olan Rut-Serv’i sessizce yükler ve yükler.
  • Kabuk – Bir PowerShell komut döngüsü başlatır. Bir başlangıç ​​”kabuk başlattı ..” mesajı gönderir, ardından Invoke-ekspresyonu kullanarak yürüttüğü yeni komutlar için her 5 saniyede bir sunucuyu tekrar tekrar anket yapar ve sonuçları geri gönderir.
  • İle ilgili – WMI’yi sorgulayarak yüklü antivirüs ve güvenlik yazılımını numaralandırır (kök \ securityCenter2 ad alanındaki antivirüs üretiminden * seçin). Sonuçları C2 sunucusuna gönderir.

Çekirdek komut seti dışında, operatörler, daha da derin saldırı özelleştirmesi için PowerShell komut dosyalarını bellekte yürütmelerine olanak tanıyan bir .NET yükleyici içeren ayrı bir özellikten yararlanabilir.

DirtNet'in .NET Yükleyici
DirtNet’in .NET Yükleyici
Kaynak: Prodaft

Fidye yazılımı grupları genellikle belirli işlemlere göre uyarlanmış ve düşük AV algılamasına sahip özel araçlar kullansa da, bunlar geliştirmek için pahalıdır ve özellikle düşük seviyeli gruplarda her zaman mevcut olmayan vasıflı geliştiriciler gerektirir.

Skitnet gibi hazır bir kötü amaçlı yazılım kullanmak daha ucuzdur, konuşlandırılması daha hızlıdır ve birçok tehdit aktörünün kullandığı gibi ilişkilendirmeyi zorlaştırabilir.

Fidye yazılımı alanında, her iki yaklaşım için de yer var, hatta ikisinin bir karışımı bile, ancak Skitnet’in yetenekleri onu hackerlar için özellikle cazip hale getiriyor.

Prodaft, GitHub deposunda Skitnet ile ilişkili uzlaşma (IOCS) göstergeleri yayınladı.

Kırmızı Rapor 2025

14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.



Source link