Живёт в памяти, говорит через DNS и не пишет ни байта на диск — угадайте его имя

Skitnet Bossnet Black Basta Cactus LARVA306 RAMP вымогатели вредоносное ПО
Живёт в памяти, говорит через DNS и не пишет ни байта на диск — угадайте его имя
Skitnet Bossnet Black Basta Cactus LARVA306 RAMP вымогатели вредоносное ПО

Вымогатели нашли идеальный инструмент: дешевле QakBot, опаснее IcedID, тише мыши.

image

Весной 2024 года на подпольных хакерских форумах появился малоизвестный инструмент под названием Skitnet, также фигурирующий как «Bossnet». Спустя всего несколько месяцев он стал настоящим хитом в арсенале вымогательских группировок, вытесняя привычные инструменты, попавшие под удар международных операций вроде Operation Endgame. Последняя, напомним, в мае 2024 года нанесла серьёзный урон сетям QakBot и IcedID, оставив киберпреступников без привычных каналов доставки вредоносов.

В образовавшуюся нишу стремительно ворвался Skitnet — многоступенчатый вредоносный инструмент, разработанный злоумышленником под псевдонимом LARVA306. Его начали активно применять такие известные группировки, как Black Basta и Cactus.

По данным аналитиков WardenShield, их интерес объясняется не только технологическими возможностями, но и доступностью решения. Skitnet дешёвый, модульный и умеет виртуозно избегать обнаружения, что делает его особенно привлекательным на фоне ужесточившейся конкуренции в секторе Ransomware-as-a-Service.

Skitnet стал особенно полезным в кампаниях, где упор делается на двойное вымогательство. Группировки сначала крадут конфиденциальные данные, а затем шифруют инфраструктуру жертвы, усиливая давление обещанием публичного разглашения. Такая тактика давно используется, но Skitnet добавил ей глубины за счёт стойкой и скрытой постэксплуатации.

Одна из главных особенностей вредоноса — его сложная архитектура. Он построен на сочетании языков Rust и Nim, что усложняет его анализ и обнаружение. Инфицирование начинается с загрузчика на Rust, который внедряет в оперативную память Nim-бинарник, зашифрованный алгоритмом ChaCha20. Для загрузки используется библиотека DInvoke-rs, позволяющая выполнить код напрямую из памяти — без записи на диск. Это эффективно обходило сигнатурную защиту антивирусов.

Общение с управляющим сервером осуществляется через нестандартный канал — DNS-обратную оболочку. Механизм использует случайные DNS-запросы, которые маскируются под нормальный сетевой трафик. Три параллельно работающих потока в Nim-бинарнике обеспечивают пульс-сигналы, приём команд и передачу вывода обратно оператору, полностью обходя обычные системы сетевой фильтрации.

Немаловажно и то, как Skitnet закрепляется в системе. При активации команды «startup» на заражённой машине появляется новая директория «C:\ProgramData\huo», в которую вредонос скачивает сразу три компонента. Один из них — легитимный исполняемый файл от ASUS под названием «ISP.exe». Он подписан цифровой подписью, что позволяет избежать подозрений. Вместе с ним загружается вредоносная библиотека «SnxHidLib.DLL» и скрипт «pas.ps1» на PowerShell, обеспечивающий связь с сервером злоумышленников.

Далее Skitnet создаёт ярлык на «ISP.exe» в папке автозагрузки Windows. При перезагрузке система запускает подписанный исполняемый файл, который, в свою очередь, подгружает подложную библиотеку. DLL инициирует запуск PowerShell-скрипта, восстанавливая связь с командным центром и обеспечивая долговременное присутствие в системе.

Особый интерес вызывает выбор инфраструктуры для распространения — Skitnet продаётся на популярной площадке RAMP, специализирующейся на киберпреступных сервисах. Это подчёркивает растущую индустриализацию теневого сегмента, где даже малоопытные участники могут получить доступ к сложным инструментам за относительно небольшие деньги.

Таким образом, Skitnet — не просто новый вредонос, а симптом более широкой тенденции: массовая доступность, высокая технологичность и акцент на постэксплуатацию делают его угрозой, способной надолго задержаться в арсенале вымогателей.