勒索軟件團伙成員越來越多地使用一種名為Skitnet的新型惡意軟件，在被入侵的網絡上執行秘密活動。

自2024年4月以來，該惡意軟件一直在RAMP等地下論壇上出售，但據安全研究人員稱，自2025年初以來，它開始在勒索軟件團伙中獲得顯著成績。

目前，安全研究人員已經觀察到其勒索軟件成員在攻擊中部署了多個勒索軟件操作，包括Microsoft Teams針對企業的網絡釣魚攻擊中的BlackBasta和Cactus。

該惡意軟件在地下論壇上進行推廣

隱蔽而強大的后門

Skitnet感染開始于一個基于rust的加載程序，該加載程序在目標系統上卸載并執行，它解密ChaCha20加密的Nim二進制文件并將其加載到內存中。

Nim有效負載建立一個基于DNS的反向shell，用于與命令和控制（C2）服務器通信，用隨機的DNS查詢啟動會話。

惡意軟件啟動三個線程，一個用于發送心跳DNS請求，一個用于監視和泄漏shell輸出，另一個用于偵聽和解密來自DNS響應的命令。

根據Skitnet C2控制面板發出的命令，通過HTTP或DNS發送要執行的通信和命令。C2面板允許操作員查看目標的IP、位置、狀態和發出執行命令。

Skitnet的管理面板

支持的命令有：

·startup-通過下載三個文件（包括惡意DLL）并在startup文件夾中創建合法華碩可執行文件（ISP.exe）的快捷方式來建立持久性。這會觸發一個DLL劫持，該劫持執行一個PowerShell腳本（pass .ps1），用于正在進行的C2通信。

·Screen-使用PowerShell捕獲受害者桌面的屏幕截圖，將其上傳到Imgur，并將圖像URL發送回C2服務器。

·Anydesk-下載并靜默安裝Anydesk，一個合法的遠程訪問工具，同時隱藏窗口和通知托盤圖標。

·Rutserv-下載并靜默安裝另一個合法的遠程訪問工具Rutserv。

·Shell -啟動PowerShell命令循環。發送初始的“Shell started..”消息，然后每5秒重復輪詢（?m）服務器，以便使用Invoke-Expression執行新命令，并將結果發送回來。

·Av-通過查詢WMI （SELECT * FROM AntiVirusProduct在root\SecurityCenter2命名空間中）枚舉已安裝的防病毒和安全軟件，將結果發送到C2服務器。

除了核心命令集之外，操作人員還可以利用涉及。net加載器的單獨功能，該功能允許他們在內存中執行PowerShell腳本，以進行更深入的攻擊定制。

Skitnet's .NET加載器

雖然勒索軟件組織經常使用針對特定操作的定制工具，并且反病毒檢測能力較低，但這些工具的開發成本很高，而且需要熟練的開發人員，而這些開發人員并不總是可用的，尤其是在較低層次的組織中。

使用像Skitnet這樣現成的惡意軟件更便宜，部署更快，而且由于許多威脅者使用它，可能會使歸因更加困難。

在勒索軟件領域，兩種方法都有空間，甚至是兩種方法的混合，但Skitnet的能力使它對黑客特別有吸引力。

參考及來源：https://www.bleepingcomputer.com/news/security/ransomware-gangs-increasingly-use-skitnet-post-exploitation-malware/