Phần mềm độc hại này đã được rao bán trên các diễn đàn ngầm như RAMP kể từ tháng 4/2024, nhưng theo các nhà nghiên cứu của công ty Prodaft, nó bắt đầu thu hút sự chú ý đáng kể trong các băng nhóm ransomware kể từ đầu năm 2025.

Đại diện của Prodaft cho biết, họ đã quan sát thấy nhiều hoạt động ransomware triển khai Skitnet vào các cuộc tấn công trong thế giới thực, bao gồm BlackBasta trong các cuộc tấn công lừa đảo Microsoft Teams chống lại doanh nghiệp và Cactus.

Cửa sau lén lút và mạnh mẽ

Việc lây nhiễm Skitnet bắt đầu bằng trình tải dựa trên ngôn ngữ lập trình Rust được thả và thực thi trên hệ thống mục tiêu, giải mã nhị phân Nim được mã hóa ChaCha20 và tải vào bộ nhớ.

Tải trọng Nim thiết lập một lớp vỏ đảo ngược dựa trên hệ thống tên miền (DNS) để giao tiếp với máy chủ chỉ huy và kiểm soát (C2), khởi tạo phiên bằng các truy vấn DNS ngẫu nhiên.

Phần mềm độc hại khởi động ba luồng, một luồng để gửi yêu cầu DNS, một luồng để theo dõi và đánh cắp đầu ra của shell và một luồng để lắng nghe và giải mã lệnh từ phản hồi DNS.

Giao tiếp và lệnh cần thực thi được gửi qua giao thức HTTP hoặc DNS, dựa trên các lệnh được phát hành qua bảng điều khiển Skitnet C2. Bảng điều khiển C2 cho phép người vận hành xem IP, vị trí, trạng thái của mục tiêu và phát lệnh để thực thi.

Các lệnh được hỗ trợ gồm

Khởi động - Thiết lập tính bền bỉ bằng cách tải xuống ba tệp (bao gồm một DLL độc hại) và tạo một lối tắt đến tệp thực thi Asus hợp lệ (ISP.exe) trong thư mục Khởi động. Thao tác này kích hoạt một DLL chiếm đoạt thực thi một tập lệnh PowerShell (pas.ps1) để liên lạc C2 đang diễn ra.

Màn hình – Chụp ảnh màn hình máy tính để bàn của nạn nhân bằng PowerShell, tải lên mạng xã hội hình ảnh Imgur và gửi hệ thống định vị tài nguyên (URL) hình ảnh trở lại máy chủ C2.

Anydesk – Tải xuống và cài đặt âm thầm công cụ truy cập từ xa hợp lệ AnyDesk, đồng thời ẩn biểu tượng cửa sổ và khay thông báo.

Rutserv – Tải xuống và cài đặt một công cụ truy cập từ xa hợp pháp khác (RUT-Serv) một cách âm thầm.

Shell – Bắt đầu vòng lặp lệnh PowerShell. Gửi thông báo "Shell started.." ban đầu, sau đó liên tục thăm dò (?m) máy chủ cứ sau 5 giây để tìm lệnh mới mà nó thực thi bằng Invoke-Expression và gửi lại kết quả.

Av – Liệt kê phần mềm diệt vi-rút và bảo mật đã cài đặt bằng cách truy vấn WMI (SELECT * FROM AntiVirusProduct trong không gian tên root\SecurityCenter2). Gửi kết quả đến máy chủ C2.

Ngoài bộ lệnh cốt lõi, người điều hành cũng có thể tận dụng khả năng riêng biệt liên quan đến trình tải .NET, cho phép họ thực thi các tập lệnh PowerShell trong bộ nhớ, để tùy chỉnh tấn công sâu hơn nữa.

Mặc dù các nhóm ransomware thường sử dụng các công cụ tùy chỉnh được thiết kế riêng cho các hoạt động cụ thể và có khả năng phát hiện AV thấp, nhưng việc phát triển các công cụ này rất tốn kém và đòi hỏi các nhà phát triển có tay nghề cao, những người không phải lúc nào cũng có mặt, đặc biệt là trong các nhóm cấp thấp hơn.

Sử dụng phần mềm độc hại có sẵn như Skitnet rẻ hơn, triển khai nhanh hơn và có thể khiến việc xác định danh tính trở nên khó khăn hơn vì nhiều tác nhân đe dọa sử dụng nó.

Trong không gian ransomware, có chỗ cho cả hai cách tiếp cận, thậm chí là kết hợp cả hai, nhưng khả năng của Skitnet khiến nó đặc biệt hấp dẫn đối với tin tặc.

Hà Linh