Ransomware-gjenger tar i bruk Skitnet for skjulte etter-angrepsaktiviteter.
Ransomware-gjenger tar i bruk Skitnet for skjulte etter-angrepsaktiviteter
Skitnet, også kjent som "Bossnet", er en ny type etter-angreps-malware som i økende grad benyttes av ransomware-grupper som BlackBasta og Cactus. Ifølge Prodaft-forskere har Skitnet vært tilgjengelig på undergrunnsfora som RAMP siden april 2024, men har fått betydelig oppmerksomhet blant trusselaktører siden tidlig 2025. Malwaren starter med en Rust-basert loader som dekrypterer og laster en Nim-basert nyttelast i minnet. Denne nyttelasten etablerer en DNS-basert omvendt shell for kommunikasjon med kommando- og kontrollserveren (C2), og bruker tre tråder for henholdsvis å sende "heartbeat"-forespørsler, overvåke og eksfiltrere shell-utdata, samt lytte etter og dekryptere kommandoer fra DNS-responser. Skitnet har blitt observert i reelle angrep, inkludert Microsoft Teams-phishing mot bedrifter.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.