Живёт в памяти, говорит через DNS и не пишет ни байта на диск — угадайте его имя

Вымогатели нашли идеальный инструмент: дешевле QakBot, опаснее IcedID, тише мыши.


sdjsqjg4y8ump1yj22s4cll9h0iey2b1.jpg


Весной 2024 года на подпольных хакерских форумах появился малоизвестный инструмент под названием Skitnet , также фигурирующий как «Bossnet». Спустя всего несколько месяцев он стал настоящим хитом в арсенале вымогательских группировок, вытесняя привычные инструменты, попавшие под удар международных операций вроде Operation Endgame. Последняя, напомним, в мае 2024 года нанесла серьёзный урон сетям QakBot и IcedID, оставив киберпреступников без привычных каналов доставки вредоносов.

В образовавшуюся нишу стремительно ворвался Skitnet — многоступенчатый вредоносный инструмент, разработанный злоумышленником под псевдонимом LARVA306. Его начали активно применять такие известные группировки, как Black Basta и Cactus .

По данным аналитиков WardenShield, их интерес объясняется не только технологическими возможностями, но и доступностью решения. Skitnet дешёвый, модульный и умеет виртуозно избегать обнаружения, что делает его особенно привлекательным на фоне ужесточившейся конкуренции в секторе Ransomware-as-a-Service .

Skitnet стал особенно полезным в кампаниях, где упор делается на двойное вымогательство. Группировки сначала крадут конфиденциальные данные, а затем шифруют инфраструктуру жертвы, усиливая давление обещанием публичного разглашения. Такая тактика давно используется, но Skitnet добавил ей глубины за счёт стойкой и скрытой постэксплуатации.

Одна из главных особенностей вредоноса — его сложная архитектура. Он построен на сочетании языков Rust и Nim , что усложняет его анализ и обнаружение. Инфицирование начинается с загрузчика на Rust, который внедряет в оперативную память Nim-бинарник, зашифрованный алгоритмом ChaCha20. Для загрузки используется библиотека DInvoke-rs, позволяющая выполнить код напрямую из памяти — без записи на диск. Это эффективно обходило сигнатурную защиту антивирусов .

Общение с управляющим сервером осуществляется через нестандартный канал — DNS-обратную оболочку. Механизм использует случайные DNS-запросы, которые маскируются под нормальный сетевой трафик. Три параллельно работающих потока в Nim-бинарнике обеспечивают пульс-сигналы, приём команд и передачу вывода обратно оператору, полностью обходя обычные системы сетевой фильтрации.

Немаловажно и то, как Skitnet закрепляется в системе. При активации команды «startup» на заражённой машине появляется новая директория «C:\ProgramData\huo», в которую вредонос скачивает сразу три компонента. Один из них — легитимный исполняемый файл от ASUS под названием «ISP.exe». Он подписан цифровой подписью, что позволяет избежать подозрений. Вместе с ним загружается вредоносная библиотека «SnxHidLib.DLL» и скрипт «pas.ps1» на PowerShell, обеспечивающий связь с сервером злоумышленников.

Далее Skitnet создаёт ярлык на «ISP.exe» в папке автозагрузки Windows. При перезагрузке система запускает подписанный исполняемый файл, который, в свою очередь, подгружает подложную библиотеку. DLL инициирует запуск PowerShell-скрипта, восстанавливая связь с командным центром и обеспечивая долговременное присутствие в системе.

Особый интерес вызывает выбор инфраструктуры для распространения — Skitnet продаётся на популярной площадке RAMP , специализирующейся на киберпреступных сервисах. Это подчёркивает растущую индустриализацию теневого сегмента, где даже малоопытные участники могут получить доступ к сложным инструментам за относительно небольшие деньги.

Таким образом, Skitnet — не просто новый вредонос, а симптом более широкой тенденции: массовая доступность, высокая технологичность и акцент на постэксплуатацию делают его угрозой, способной надолго задержаться в арсенале вымогателей.