Ransomware-bande Blackbasta Hat Neuen Malware-favoritten

Ransomware-bande Blackbasta Hat Neuen Malware-favoritten

Lucas Morel

Die modulare malware skitnet ist maßgeschneidert für cybercrime, da sie über spezielle plugins für diebstahl, verschlüsselung und persistenz verfügt.

Die Blackbasta-Bande Scheint Ihr Repertoire Um Eine Neue, Modulare Malware Erweitert Zu Haben. Dans Einem Linkedin-Post Gaben Forscher des Cybersicherheitsunternehmens prodaft an, dass die berüchtigte gruppe die schadsoftware skitnet in phishing-angriffen auf Microsoft teams eingesesetzt chapeau.

Die experten Veröffentlichten Indikator für die komprotiltierung (indicateurs de compromis, IOC). Diese liste gibt Sicherheitsteams informationen über c2-servern, tox-addresen und datei-hashs an die hand, die bei den beobachteten angriffen verwendet wurden.

Wichtige upload-kompontenten

Skitnet Wurde von den Cyberkriminellen der Gruppe Larva-306 Entwickelt und Steht Seit avril 2024 dans Untergrundforen Wie Ramp Zum Verkauf. Die schadsoftware „Nutzt Mehrere Programmiersprachen und Tarntechniken, um ihre nutzlast auszuführen und dauerhaften zugriff auf infizierte systeme zu erhalten”, so prodAred in einem bericht.

Dir malware ist So Aufgebaut, dass sie Aus Verschiedenenen bausteinen belteht. Programm Ein Zentrales, Der Sogenannte Core Loader, Wird Zuerst Mithilfe Eines Einfachen PowerShell-Skripts Entschlüsselt und Gestartet. Je Nachdem, était Der Angreifer Erreichen Möchte, Lädt Dieser Core Loder Dann Automatisch Verschiedene Zusatzmodule (plug-ins) Herunter und führt Sie Aus.

Module diese werden über Sichere http-anfragen von speziellen steuerungsservern (Command and-Control-Servern) Abgerufen. Dabei Sind Die Daten Verschlüsselt, Um Unentdeckt Zu Bleiben. Zu den Wichtigen Modulen Gehört Beispielsweise die Datei „Skitnel.dll”, Die Program Direkt Im Arbeitssspeicher Ausführt. Ein Weiterer Wichtiger Mechanismus Sorgt Dafür, Dass Die Malware Dauerhaft Auf Dem Infizierten System Aktiv Bleibt.

Modularität für verschiedene zwecke

Die malware skitnet verfügt über plug-ins séparurs um

  • Anmeldeinformationen zu sammeln,
  • Berechtigungen Auszuweiten,
  • Sich im Netzwerk latéral Zu Bewegen
  • Ransomware Bereitzustellen.

Sie Nutzt Die Programmiersprachen Rust und Nim, Um eine Verdeckte Shell inverse über das dns-protokoll Zu Realisieren. Dadurch ist Eine Unauffällige C2-Kommunikation Möglich.

Zusätzlich Verwendet Skitnet Verschlüsselung, Manuelles Mapping und Dynamische api-Aauflösung, Um Nicht Entdeckt Zu Werden. IST EIN System Infiziert, Löscht der Server Automatisch

  • Ssh-verbindungsprotokolle,
  • IP-ADRESSEN,
  • Befehlsverläufe und
  • cache den.

Persistant und unauffällig

Ziel ist ES, Keine Spuren Für Forensische Untersuchungen Zu Hinterlassen. Zugleich ist die malware dazu in der lage, rote-dektop-tools wie anydesk oder rut Unauffällig zu installaren und zu startren.

Zusätzlich verfügt skitnet über befehle, um daten zu exfiltrieren und sicherheitsprodukte aufzuzählen. Dank persistezmechanismen wie dll-hijacking und powershell-Basierte Ausführung, kann die schadsoftware dauerhaft auf kOMpromittitierten synemen aktiv bleiben.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

A photograph of a sign with SolarWinds
Les Zero Days de SolarWinds WHD de janvier sont attaqués
Préparer le champ de bataille – Le nouveau manuel de cyber-guerre
Préparer le champ de bataille – Le nouveau manuel de cyber-guerre
Senior Analyst Woman Worries About Cyber Ransomware Attack On Business PC.
Un raccourci Windows utilisé comme arme dans une campagne de ransomware liée à Phorpiex