Ransomware

ランサムウェアギャングメンバーは、侵入されたネットワーク上でステルス的に事後活動を行うために、Skitnet(「Bossnet」)と呼ばれる新しいマルウェアを使用することが増えています。

このマルウェアは、2024年4月からRAMPのようなアンダーグラウンドのフォーラムで販売されていましたが、Prodaftの研究者によると、2025年初頭からランサムウェアギャングの間で大きな支持を集めるようになりました。

Prodaftは、企業に対するMicrosoft Teamsのフィッシング攻撃におけるBlackBastaや、Cactusなど、Skitnetを実際の攻撃で展開する複数のランサムウェアを観測していると述べています。

The malware promoted on underground forums
アンダーグラウンドのフォーラムで宣伝されているマルウェア
Source:Prodaft

ステルス性の高い強力なバックドア

Skitnetの感染は、ターゲットシステム上で実行されるRustベースのローダーから始まり、このローダーはChaCha20で暗号化されたNimバイナリを解読し、メモリにロードします。

Nimペイロードは、コマンド&コントロール(C2)サーバとの通信用にDNSベースのリバースシェルを確立し、ランダムなDNSクエリでセッションを開始します。

このマルウェアは3つのスレッドを起動し、1つはハートビートDNSリクエストを送信するためのスレッド、1つはシェル出力を監視して流出させるためのスレッド、もう1つはDNSレスポンスからコマンドをリスニングして解読するためのスレッドです。

実行される通信とコマンドは、Skitnet C2コントロールパネル経由で発行されたコマンドに基づいて、HTTPまたはDNS経由で送信される。C2パネルにより、オペレーターはターゲットのIP、位置、ステータスを確認し、実行のためのコマンドを発行することができます。

Skitnet's admin panel
Skitnetの管理パネル
Source:Prodaft

サポートされるコマンドは以下のとおり:

  • startup – 3つのファイル(悪意のあるDLLを含む)をダウンロードし、スタートアップフォルダに正規のAsus実行ファイル(ISP.exe)へのショートカットを作成することで、永続性を確立します。これにより、DLLハイジャックがトリガーされ、継続的なC2通信のためのPowerShellスクリプト(pas.ps1)が実行されます。
  • Screen– PowerShellを使用して被害者のデスクトップのスクリーンショットをキャプチャし、Imgurにアップロードして、画像のURLをC2サーバーに送り返します。
  • Anydesk – 正規のリモート・アクセス・ツールであるAnyDeskをダウンロードし、ウィンドウと通知トレイのアイコンを隠しながら、サイレントにインストールします。
  • Rutserv – 正規のリモート アクセス ツールである RUT-Serv をダウンロードし、サイレント インストールします。
  • Shell – PowerShellコマンドループを開始します。最初の「Shell started…」メッセージを送信した後、Invoke-Expressionを使用して実行する新しいコマンドについて、5秒ごとにサーバーを繰り返しポーリング(?m)し、結果を返送します。
  • Av – WMI (SELECT * FROM AntiVirusProduct in the rootSecurityCenter2 namespace) をクエリすることで、インストールされているアンチウイルスおよびセキュリティソフトウェアを列挙する。結果を C2 サーバに送信する。

コアコマンドセットとは別に、オペレータは.NET ローダーを含む別の機能を活用することもでき、これによりメモリ内で PowerShell スクリプトを実行できるため、攻撃をさらに深くカスタマイズできます。

Skitnet's .NET loader
Skitnetの.NETローダー
ソースはこちら:Prodaft

ランサムウェア・グループは、特定の操作に合わせたカスタム・ツールを使用し、AV検出率が低いことがよくありますが、これらの開発にはコストがかかり、熟練した開発者が必要で、特に下位層のグループでは、常に利用できるわけではありません。

Skitnetのような既製のマルウェアを使用すれば、安価で迅速に展開でき、多くの脅威アクターが使用しているため、帰属を困難にすることができます。

ランサムウェアの分野では、どちらのアプローチも、さらにはこの2つをミックスしたアプローチも可能ですが、Skitnetの機能はハッカーにとって特に魅力的です。

Prodaftは、Skitnetに関連する侵害指標(IoC)をGitHubリポジトリで公開している。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Red Report 2025

攻撃の93%を支えるMITRE ATT&CK©テクニックのトップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。