DNS, Rust и Nim — гремучая смесь, чтобы вы даже не заметили, как хакеры получили полный доступ

Сразу несколько вымогательских группировок начали активно использовать вредоносное ПО под названием Skitnet в рамках своих операций на этапе постэксплуатации. Цель — установить удалённый контроль над скомпрометированными системами и выкачать из них конфиденциальные данные. По данным PRODAFT, это вредоносное ПО появилось на теневых форумах, таких как RAMP, в апреле 2024 года, но настоящий всплеск интереса к нему зафиксирован с начала 2025 года.

Одним из примеров стало использование Skitnet группировкой Black Basta в фишинговых кампаниях, оформленных под интерфейс Microsoft Teams. Эти атаки были направлены против корпоративных пользователей и произошли в апреле 2025 года. Эксперты отмечают, что модульная архитектура и функции скрытности делают Skitnet всё более популярным решением среди киберпреступников.

Разработчиком Skitnet, также известного под названием Bossnet, считается злоумышленник под псевдонимом LARVA-306. Программа написана с применением языков Rust и Nim, что позволяет ей эффективно обходить средства обнаружения и запускать обратные shell-подключения через DNS. Такая комбинация технологий создаёт дополнительную сложность для классических антивирусов и систем защиты.

Механизм заражения начинается с запуска исполняемого файла на Rust, который расшифровывает и активирует встроенную полезную нагрузку, написанную на Nim. Она, в свою очередь, создаёт обратное соединение с управляющим сервером, применяя технику разрешения DNS-запросов и динамическое связывание API-функций через GetProcAddress вместо стандартных таблиц импорта.

Для поддержания связи с сервером и выполнения команд на заражённой машине используются многопоточность и циклические DNS-запросы каждые 10 секунд. Полученные команды исполняются на устройстве жертвы, а результаты передаются обратно на управляющую панель.

Среди поддерживаемых функций — получение списка антивирусов, съём скриншотов, развёртывание легитимных RDP-решений (например, AnyDesk и rutserv), а также выполнение PowerShell-скриптов с удалённых серверов. Также присутствует механизм автозапуска через добавление ярлыков в директорию автозагрузки.

По словам специалистов, многослойность архитектуры Skitnet, сочетание Rust и Nim, а также использование DNS в качестве канала управления делают его особенно сложным для анализа и обнаружения. Это позволяет злоумышленникам сохранять доступ к заражённым системам на протяжении длительного времени, оставаясь незамеченными.

На фоне этого раскрытия другая группа исследователей из Zscaler ThreatLabz сообщила о появлении нового загрузчика вредоносного ПО под названием TransferLoader. Он используется для доставки шифровальщика Morpheus, нацеленного, в частности, на американскую юридическую фирму. Активность этой кампании отслеживается с февраля 2025 года.

TransferLoader состоит из трёх компонентов: загрузчика, бэкдора и специализированного модуля, отвечающего за запуск бэкдора. Загрузчик скачивает полезную нагрузку с командного сервера и одновременно запускает поддельный PDF-документ для отвлечения внимания пользователя. Бэкдор получает команды от C2-сервера, а также может обновлять собственную конфигурацию через децентрализованную платформу IPFS — используемую как резервный канал управления. При этом разработчики применяют методы обфускации, чтобы усложнить процесс обратной разработки.

Расширение использования таких инструментов, как Skitnet и TransferLoader, указывает на растущую сложность вредоносной инфраструктуры и стремление операторов вымогательского ПО к максимально скрытному и управляемому присутствию в целевых сетях.