Bossnet olarak da adlandırılan Skitnet kötü amaçlı yazılım, 2025 yılında fidye yazılımı çeteleri için kritik bir araç olarak ortaya çıkmış ve siber suçlular için operasyonel verimlilikte belirgin bir artış sergilemektedir.
İlk olarak 19 Nisan 2024’te Rampa gibi yeraltı forumlarında, Larva-306 olarak bilinen bir tehdit aktörü tarafından reklamı yapılan Skitnet, başlangıçta entegre bir sunucu tarafı kontrol paneline sahip kompakt, kullanıcı dostu bir işe alım paketi olarak konumlandırıldı.
Hızlı benimsenmesi, Mayıs 2024’te Qakbot ve Icedid gibi büyük botnetleri söken Endgame Operasyonu gibi kolluk kesintilerinin ardından 2025 başlarında arttı.
.png
)
Bu, skitnet’in satın alınabilirliği, modülerliği ve gizli yetenekleriyle sömürülen siber suç ekosisteminde bir boşluk bıraktı.
Siber suç ekosisteminde yükselen bir tehdit
Black Basta ve Cactus da dahil olmak üzere dikkate değer fidye yazılımı grupları, skitnet’i skitnet’i, özellikle Prodaft gibi siber güvenlik firmaları tarafından bildirildiği gibi Microsoft Teams temalı kimlik avı kampanyaları aracılığıyla hedeflemek için kullandılar.
Kötü amaçlı yazılımların rampa gibi platformlardaki kullanılabilirliği, hizmet olarak kötü amaçlı yazılım (MAAS) modellerinin ileri araçlara erişimi demokratikleştirdiği ve daha az vasıflı aktörlerin karmaşık saldırıları yürütmesini ve küresel tehdit manzarasını güçlendirmesini sağlayan siber suçların sanayileşmesinin altını çiziyor.
Skitnet’in teknik mimarisi, kaçırma ve kalıcılık için tasarlanmış çok aşamalı bir kötü amaçlı yazılım olarak etkinliğinin bir kanıtıdır ve bu da geleneksel güvenlik savunmaları için zorlu bir zorluk haline getirir.
Enfeksiyon zincirini, kimlik avı veya tehlikeye atılan kimlik bilgilerinden yararlanmak gibi sosyal mühendislik taktikleri aracılığıyla başlatır ve genellikle Microsoft Exchange veya VPN hizmetlerindeki güvenlik açıklarını hedefler.
Rapora göre, enfeksiyon, disk tabanlı algılamayı önlemek için yansıtıcı kod yüklemesi yoluyla bellek içinde yürüterek ChaCha20 şifreli bir NIM ikili şifresini çözen pas bazlı bir yükleyici ile başlar.
Bu NIM yükü, meşru trafiğe karışmak ve ağ izlemeden kaçmak için randomize DNS sorguları ve şifreli TXT kayıtları kullanarak komut ve kontrol (C2) iletişimi için DNS tabanlı bir ters kabuk oluşturur.
Teknik gelişmişlik, gizli ve kalıcılığı besler
Skitnet’in kalıcılık mekanizmaları eşit derecede sofistike, C: \ ProgramData \ Huo’ya kötü amaçlı dosyalar yerleştirerek ve yeniden başlatmada yürütmeyi sağlamak için Windows başlangıç klasöründe kısayollar oluşturarak DLL kaçırma teknikleri kullanıyor.
Sıkıştırma sonrası özellikleri kapsamlıdır, çift gasp şemaları için veri eksfiltrasyonunu kolaylaştırır, AnyDesk gibi meşru araçlar aracılığıyla uzaktan erişim ve PowerShell komut dosyaları aracılığıyla ekran yakalama.
Ek olarak, Skitnet, soruşturmaları önlemek için günlük silme ve dinamik API çözünürlüğü gibi forsenik önlemleri kullanırken, PowerShell gibi yerleşik araçlardan yararlanması, Huntress 2025’de fidye yazılımı olaylarının% 75’inde gözlemlenen eğilimlerle uyumludur.
Bu tasarım sadece uç nokta algılama ve yanıt (EDR) çözümlerine karşı değil, aynı zamanda çoklu tehdit aktörleri yeraltı pazarları aracılığıyla kötü amaçlı yazılımlara eriştikçe ilişkilendirmeyi de karmaşıklaştırıyor.
Skitnet ile mücadele etmek için kuruluşlar, DNS trafik izleme, PowerShell kısıtlamaları ve davranış tabanlı EDR çözümleri de dahil olmak üzere gelişmiş savunmaları benimserken, kimlik avı risklerini azaltmak için kullanıcı farkındalığını teşvik etmelidir.
Fidye yazılımı taktikleri Skitnet gibi araçlarla geliştikçe, siber güvenlik topluluğu bu artan tehdide uyum sağlamak ve bunlara yanıt vermek için acil bir ihtiyaçla karşı karşıya.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun