В 2025 году киберпреступники продолжают совершенствовать свои методы, чтобы избежать обнаружения и максимизировать ущерб. Одним из ключевых инструментов в этом арсенале стал Skitnet (также известный как Bossnet) - сложный вредоносный код, который активно используется группами, специализирующимися на ransomware. Этот троян сочетает в себе скрытность, модульность и мощные возможности постэксплуатации, что делает его серьезной угрозой для корпоративных сетей и частных пользователей.
Описание
Skitnet впервые появился на подпольных форумах, таких как RAMP, в апреле 2024 года. Разработанный хакером под псевдонимом LARVA-306, он быстро завоевал популярность благодаря простоте использования и мощным функциям, включая автоматическое развертывание через Bash-скрипты и антифорензик-возможности, такие как удаление логов и истории команд. После того как в мае 2024 года операция Endgame нарушила работу крупных ботнетов, таких как QakBot и IcedID, спрос на новые инструменты резко вырос, и Skitnet стал одним из главных кандидатов на замену.
К 2025 году группы вроде Black Basta и Cactus начали активно использовать Skitnet в фишинговых атаках через Microsoft Teams и других схемах социальной инженерии. Этот вредоносный код работает в несколько этапов: сначала Rust-загрузчик расшифровывает и запускает в памяти Nim-модуль, который устанавливает обратную DNS-связь с сервером управления. Это позволяет злоумышленникам избегать обнаружения, поскольку DNS-трафик часто остается без внимания систем мониторинга.
Skitnet отличается высокой устойчивостью благодаря техникам DLL-подмены и скрытому использованию легальных инструментов, таких как AnyDesk и RUT-Serv. Он также способен красть данные, делать скриншоты экрана и даже анализировать установленное антивирусное ПО, что делает его идеальным инструментом для двойного шантажа - когда злоумышленники сначала похищают конфиденциальные данные, а затем шифруют системы, требуя выкуп.
Для защиты от Skitnet эксперты рекомендуют усилить мониторинг DNS-трафика, ограничить использование PowerShell, внедрить EDR-решения с поведенческим анализом и обучать сотрудников распознаванию фишинговых атак. Поскольку киберпреступники продолжают совершенствовать свои инструменты, компаниям необходимо оставаться на шаг впереди, внедряя комплексные стратегии кибербезопасности и оперативно реагируя на новые угрозы.
Skitnet - это не просто очередной вредоносный код, а индикатор общей тенденции: киберпреступность становится все более индустриализированной, а атаки - более изощренными. В условиях растущей угрозы ransomware только комплексный подход к защите данных и инфраструктуры может минимизировать риски и предотвратить катастрофические последствия.
Индикаторы компрометации
IPv4
- 109.120.179.170
- 178.236.247.7
- 181.174.164.107
- 181.174.164.140
- 181.174.164.180
- 181.174.164.2
- 181.174.164.238
- 181.174.164.240
- 181.174.164.4
- 181.174.164.41
- 181.174.164.47
SHA256
- 2455feb8790635850f2637e1e980d3aa390eefd10fd7048c28f6a075ef0b50aa
- 37e4db74f8fed20689d35f4fc846cc8a73d594354336e4445338f9bd3e537076
- 3bb58d2b395290a4fa42c7b059736c3dcf8ef778fea05b7f2d66675257b888e6
- 3d13352d90d8f1f762aff869d52be18c999abdcd713a2c1a4dcfbfb0e77fb639
- 7cb45b66b035849a0dc18a0bd2747cb175dd20ce27c0a4e5b44d67612c6a02c2
- a49fcd38da4a23acfe70c702fbe7b323eb5449fee15150cb0414b08c8a2cd8ee
- ad2b6d73cb4425eb4c08532c17777f5d2d9e7bbc27ae4088851405c7fc869790
- d302598fcf6ea86b6b2d35ef74ceb01d78f3b635e30302d176ac153d6bbd0fb6
- e2456af0c63d290f548bd9fb845ed01572edfa0f04fb907897bc54a8e3a75baf
TOX Address
- D013BF68BE0602F944F68779FB104A300D0C00C11E05008A63FB8F19AFC70F693DE0825D4198
