Fidye yazılımı operatörleri, sömürü sonrası yeteneklerini geliştirmek ve geleneksel güvenlik önlemlerinden kaçınmak için “Bossnet” olarak da bilinen skitnet adlı skitnet adlı skitnet adlı gelişmiş yeni bir kötü amaçlı yazılım aracına yöneldiler.
İlk olarak Nisan 2024’te yeraltı siber suç forumlarında ortaya çıkan bu çok aşamalı kötü amaçlı yazılımlar, saldırıları boyunca gizliliği korurken operasyonlarını kolaylaştırmak isteyen önde gelen fidye yazılımı grupları arasında hızla çekiş kazandı.
Kötü amaçlı yazılım, fidye yazılımı ekosisteminde, özellikle Mayıs 2024’te Endgame Operasyonu gibi kolluk eylemlerinin Qakbot ve IcedID dahil büyük botnetleri bozması ve operasyonel boşluğu doldurmak için yeni araçlara talep yarattığı için önemli bir evrimi temsil eder.
.png
)
WardenShield analistleri, Skitnet’in satın alınabilirliği, modüler tasarım ve gelişmiş gizli özelliklerinin, giderek daha rekabetçi fidye yazılımları alanında faaliyet gösteren siber suçlular için çekici bir seçenek haline getirdiğini kaydetti.
Larva306 olarak izlenen bir tehdit oyuncusu tarafından geliştirilen Skitnet, 2025 boyunca Black Basta ve Kaktüs dahil olmak üzere yerleşik fidye yazılım grupları tarafından aktif kampanyalarda gözlemlenmiştir.
Black Basta, Microsoft Teams temalı kimlik avı kampanyalarında, kurumsal ortamları hedefleyen kötü amaçlı yazılımları özel olarak kullanırken, Cactus da benzer şekilde azaltma sonrası faaliyetler için onu kullandı.
Kötü amaçlı yazılımların rampa gibi platformlardaki kullanılabilirliği, hizmet olarak kötü amaçlı yazılım ekosistemlerinin daha az vasıflı aktörler için sofistike araçlara erişimi demokratikleştirdiği siber suçların sanayileşmesini vurgular.
Skitnet’in etkisi, fidye yazılımı çetelerinin sistemleri şifrelemeden önce hassas verileri çaldığı çift gasp şemalarında kritik bir bileşen olarak hizmet ederek geleneksel kötü amaçlı yazılım yeteneklerinin ötesine uzanır.
Bu yaklaşım, kurbanların gizli bilgilerin kamuya açıklanmasını tehdit ederek fidye ödeme baskısını artırır.
Kötü amaçlı yazılımların, tehlikeye atılan ağlarda uzun vadeli kalıcılığı koruma yeteneği, saldırganların geleneksel güvenlik önlemleri tarafından tespitten kaçınırken keşif, yanal hareket ve stratejik yük dağıtımını yapmalarını sağlar.
Kötü amaçlı yazılımların teknik karmaşıklığı, modern işletme savunmalarına ve uç nokta algılama sistemlerine karşı özel olarak tasarlanmış yeni nesil tehditleri temsil eden çok dilli mimarisinde ve yenilikçi iletişim yöntemlerinde yatmaktadır.
Gelişmiş enfeksiyon mekanizmaları ve kalıcılık taktikleri
Skitnet, geleneksel antivirüs tespitinden kaçınmak için tasarlanmış pas bazlı bir yükleyici ile başlayan sofistike bir çok aşamalı enfeksiyon süreci kullanır.
İlk yürütülebilir, bir Chacha20 şifreli NIM ikili şifresini çözer ve Dinvoke-RS kütüphanesi üzerinden yansıtıcı kod yüklemesini kullanarak doğrudan belleğe yükler.
Bu bellek içi yürütme stratejisi, diske kötü amaçlı kod yazmayı önler ve imza tabanlı güvenlik araçlarıyla tespit olasılığını önemli ölçüde azaltır.
Şifre çözülmüş NIM yükü, yenilikçi bir DNS tabanlı ters kabuk aracılığıyla komut ve kontrol sunucuları ile iletişim kurar ve meşru ağ trafiğiyle sorunsuz bir şekilde karışan randomize DNS sorguları kullanır.
Yüklü üç eşzamanlı iş parçacığından çalışır: periyodik DNS istekleri gönderen bir kalp atışı mekanizması, komut eksfiltrasyonu için bir çıkış izleme sistemi ve DNS yanıtları aracılığıyla şifrelenmiş talimatlar alan bir komut dinleyici.
Skitnet’in kalıcılık mekanizmaları, DLL kaçırma tekniği ile belirli bir karmaşıklık göstermektedir.
Operatörler “Startup” komutunu yürüttüğünde, kötü amaçlı yazılım C: \ ProgramData \ Huo dizinine üç kritik dosya indirir: ISP.EXE (meşru, dijital olarak imzalanmış ASUS yürütülebilir), snxhidlib.dll (kötü niyetli bir kütüphane) ve Pas.ps1 (C2 iletişimini koruyan bir PowerShell betiği).
Kötü amaçlı yazılım, Windows başlangıç klasörüne ISP.exe’ye bir kısayol yerleştirerek sistem yeniden başlatılmasında yürütülmesini sağlar.
ISP.EXE yüklendiğinde, daha sonra PAS.PS1 komut dosyasını yürüterek, sistem yeniden başlatan ve saldırgan altyapısı ile sürekli iletişimi sürdüren esnek bir kalıcılık döngüsü oluşturan kötü amaçlı snxhidlib.dll’yi içe aktarır.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği