bossnet

Ransomware-grupper anvender i stigende grad Skitnet-malware til skjulte efterangreb

Et stigende antal ransomware-grupper benytter et nyt og effektivt malwareværktøj kaldet Skitnet (også kendt som Bossnet) til at udføre skjulte post-exploitation aktiviteter i kompromitterede netværk.

Skitnet har været til salg på undergrundsfora som RAMP siden april 2024, men ifølge sikkerhedsfirmaet Prodaft begyndte brugen for alvor at stige i begyndelsen af 2025, hvor flere ransomware-operationer har integreret værktøjet i deres angreb. Det skriver Bleebing Computer her til aften.

“Vi har observeret flere reelle angreb, hvor Skitnet blev brugt – herunder af grupper som BlackBasta i phishing-angreb via Microsoft Teams samt Cactus-operationer,”

Kilde: Det siger Prodaft til BleepingComputer

Kraftfuld bagdør med DNS-baseret kommunikation

Skitnet er udviklet som et stealth-værktøj til vedvarende og skjult kontrol over kompromitterede systemer. Infektionen starter med en Rust-baseret loader, som dekrypterer og indlæser en ChaCha20-krypteret Nim binary direkte i hukommelsen.

Denne binary etablerer derefter en DNS-baseret reverse shell til en command-and-control (C2) server, hvor forbindelsen initieres gennem tilfældigt genererede DNS-forespørgsler.

bossnet
BOSSNET INTERFACE FORSIDE (C) 2025 BY PRODAFT

Tre tråde startes umiddelbart:

  • Heartbeat-tråd: Sender løbende DNS-forespørgsler som “livstegn”
  • Overvågning: Henter og eksfiltrerer shell-output
  • Kommandoaflytning: Lytter efter og dekrypterer kommandoer i DNS-responsen

Kommunikationen kan skifte mellem HTTP og DNS, afhængig af instruktionerne fra kontrolpanelet.

Skitnets kommandoer og funktioner

Operatører får via C2-panelet adgang til oplysninger som:

  • IP-adresse
  • Geografisk placering
  • Enhedens status

Og de kan afsende følgende kommandoer:

KommandoBeskrivelse
startupEtablerer persistens ved at downloade tre filer (herunder en skadelig DLL) og opretter en genvej til en legitim Asus-eksekverbar (ISP.exe), hvilket medfører DLL hijacking og kører PowerShell-scriptet pas.ps1.
ScreenTager et screenshot via PowerShell, uploader det til Imgur, og sender billedets URL tilbage til C2-serveren.
AnydeskDownloader og installerer AnyDesk lydløst – skjuler både vinduet og notifikationsikonet.
RutservInstallerer RUT-Serv (Remote Utilities) uden brugerinteraktion.
ShellStarter en PowerShell-kommandoloop, sender en “Shell started…”-meddelelse og henter nye instruktioner hvert 5. sekund via polling og Invoke-Expression.
AvKortlægger installerede antivirusprogrammer via WMI-forespørgsler i rootSecurityCenter2. Resultater sendes til C2-serveren.

Avanceret tilpasning med .NET loader

Derudover understøtter Skitnet en .NET loader, som muliggør kørsel af PowerShell-scripts i hukommelsen – hvilket giver angribere endnu større fleksibilitet og mulighed for at tilpasse angreb uden at skrive til disk.

dotnetloader
Billedtekst: .NET LOADER (C) 2025 BY PRODAFT

Fordele for ransomware-grupper

Brugen af Skitnet er særligt udbredt blandt grupper, der ikke har adgang til dedikerede udviklere eller budget til at udvikle deres egne værktøjer. Skitnet er:

  • Billigere og hurtigere at anvende
  • Sværere at spore (mange grupper bruger samme værktøj)
  • Let at tilpasse og integrere i eksisterende toolchains

Selv avancerede grupper kan kombinere brugerdefinerede exploits med off-the-shelf malware som Skitnet, hvilket giver en effektiv og omkostningseffektiv hybridtilgang til moderne cyberangreb.

Indikatorer og teknisk dokumentation

Prodaft har offentliggjort en liste med Indicators of Compromise (IoCs) til identificering af Skitnet, som kan findes i deres officielle GitHub-repository:
🔗 https://github.com/Prodaft

  • Kilde: BleepingComputer
  • Fotokredit: Billedtekst: .NET LOADER (C) 2025 BY PRODAFT
  • Personer/Firmaer/Emner/#: #Skitnet, #Bossnet, #Ransomware, #PostExploitation, #Prodaft, #BlackBasta, #Cactus, #MicrosoftTeams, #DNSBackdoor, #PowerShellMalware, #Anydesk, #RemoteUtilities
  • Copyrights: Ⓒ 2025 Copyright by ICARE.DK – kan deles ved aktivt link til denne artikel.