Morir Blackbasta-Bang parece haber expandido su repertorio para haber expandido un nuevo malware modular. En uno Poste de linkedin Investigadores indicados de la compañía de seguridad cibernética ProDaft que el notorio grupo ha utilizado la red de malware en ataques de phishing en equipos de Microsoft.
Los expertos publicado Indicadores de compromiso (indicadores de compromiso, COI). Esta lista proporciona información sobre los equipos de seguridad sobre los servidores C2, las direcciones de TOX y los hash de archivos que se utilizaron en los ataques observados.
Componentes importantes de payoad
Skitnet fue desarrollada por los cibercriminales del grupo Larva-306 y ha estado a la venta en foros subterráneos como RAMP desde abril de 2024. El malware «usa varios lenguajes de programación y técnicas de camuflaje para llevar a cabo su carga útil y para recibir acceso permanente a los sistemas infectados», dijo ProDaft en uno en uno en uno en uno en uno en uno en uno. Mensaje.
El malware está estructurado de tal manera que consiste en diferentes bloques de construcción. Un programa central, el llamado cargador de núcleo, se descifra primero y comienza a usar un script de PowerShell simple. Dependiendo de lo que el atacante quiere lograr, este cargador central descarga automáticamente varios módulos adicionales (complementos) y los ejecuta.
Se accede a estos módulos a través de solicitudes HTTP seguras desde servidores de control especiales (servidores de comando y control). Los datos están encriptados para permanecer sin ser detectados. Los módulos importantes incluyen, por ejemplo, el archivo «skitnel.dll», que ejecuta programas directamente en la RAM. Otro mecanismo importante asegura que el malware permanezca activo en el sistema infectado de forma permanente.
Modularidad para diferentes propósitos
El malware de Sketnet tiene complementos separados alrededor
- Para recopilar información de registro,
- Para extender los permisos,
- para moverse lateralmente en la red y
- Para proporcionar ransomware.
Ella usa los lenguajes de programación Rust y NIM para implementar una carcasa inversa oculta sobre el protocolo DNS. Esto permite una comunicación discreta C2.
Además, Skitnet utiliza cifrado, mapeo manual y resolución de API dinámica para no ser descubierto. Si un sistema está infectado, el servidor elimina automáticamente
- Protocolos de conexión SSH,
- Dirección IP,
- Comandos y
- Den Cache.
Persistente e discreto
El objetivo no es dejar ningún rastro para estudios forenses. Al mismo tiempo, el malware puede instalar e iniciar herramientas de escritorio remotas como AnyDesk o Rut de manera inspeccional.
Además, Skitnet tiene comandos para los datos de datos de De -Filter y los productos de seguridad de la lista. Gracias a los mecanismos de persistencia como el secuestro de DLL y el diseño basado en PowerShell, el malware puede permanecer activo en sistemas comprometidos de forma permanente.
