据报道,勒索软件团伙越来越多地使用一种名为Skitnet的新型恶意软件在被攻破的网络中进行隐秘的后渗透活动。这种恶意软件自2024年4月起在地下论坛RAMP上开始出售,但根据Prodaft研究人员的说法,自2025年初以来,它在勒索软件团伙中获得了显著的关注。Prodaft告诉BleepingComputer,他们观察到多个勒索软件操作在实际攻击中部署了Skitnet,包括BlackBasta利用Microsoft Teams进行钓鱼攻击以及Cactus组织的攻击。
Skitnet感染始于一个基于Rust的加载程序,该加载程序在目标系统上投放并执行,解密一个使用ChaCha20加密的Nim二进制文件并将其加载到内存中。Nim负载建立了一个基于DNS的反向shell,用于与命令和控制(C2)服务器通信,开始会话时使用随机DNS查询。恶意软件启动三个线程:一个用于发送心跳DNS请求,一个用于监控和提取shell输出,还有一个用于监听和解密来自DNS响应的命令。
恶意软件通过Skitnet C2控制面板发送命令并执行,支持的命令包括建立持久性、截屏、安装远程访问工具等。这使得操作员可以看到目标的IP、位置、状态并发出执行命令。