Die BlackBasta-Bande scheint ihr Repertoire um eine neue, modulare Malware erweitert zu haben. In einem LinkedIn-Post gaben Forscher des Cybersicherheitsunternehmens Prodaft an, dass die berüchtigte Gruppe die Schadsoftware Skitnet in Phishing-Angriffen auf Microsoft Teams eingesetzt hat.
Die Experten veröffentlichten Indikatoren für die Kompromittierung (Indicators of Compromise, IoC). Diese Liste gibt Sicherheitsteams Informationen über C2-Servern, TOX-Adressen und Datei-Hashes an die Hand, die bei den beobachteten Angriffen verwendet wurden.
Wichtige Payload-Komponenten
Skitnet wurde von den Cyberkriminellen der Gruppe LARVA-306 entwickelt und steht seit April 2024 in Untergrundforen wie RAMP zum verkauf. Die Schadsoftware „nutzt mehrere Programmiersprachen und Tarntechniken, um ihre Nutzlast auszuführen und dauerhaften Zugriff auf infizierte Systeme zu erhalten”, so Prodaft in einem Bericht.
Die Malware ist so aufgebaut, dass sie aus verschiedenen Bausteinen besteht. Ein zentrales Programm, der sogenannte Core Loader, wird zuerst mithilfe eines einfachen PowerShell-Skripts entschlüsselt und gestartet. Je nachdem, was der Angreifer erreichen möchte, lädt dieser Core Loader dann automatisch verschiedene Zusatzmodule (Plug-ins) herunter und führt sie aus.
Diese Module werden über sichere HTTP-Anfragen von speziellen Steuerungsservern (Command-and-Control-Servern) abgerufen. Dabei sind die Daten verschlüsselt, um unentdeckt zu bleiben. Zu den wichtigen Modulen gehört beispielsweise die Datei „skitnel.dll“, die Programme direkt im Arbeitsspeicher ausführt. Ein weiterer wichtiger Mechanismus sorgt dafür, dass die Malware dauerhaft auf dem infizierten System aktiv bleibt.
Modularität für verschiedene Zwecke
Die Malware Skitnet verfügt über separate Plug-ins um
Anmeldeinformationen zu sammeln,
Berechtigungen auszuweiten,
sich im Netzwerk lateral zu bewegen und
Ransomware bereitzustellen.
Sie nutzt die Programmiersprachen Rust und Nim, um eine verdeckte Reverse Shell über das DNS-Protokoll zu realisieren. Dadurch ist eine unauffällige C2-Kommunikation möglich.
Zusätzlich verwendet Skitnet Verschlüsselung, manuelles Mapping und dynamische API-Auflösung, um nicht entdeckt zu werden. Ist ein System infiziert, löscht der Server automatisch
SSH-Verbindungsprotokolle,
IP-Adressen,
Befehlsverläufe und
den Cache.
Persistent und unauffällig
Ziel ist es, keine Spuren für forensische Untersuchungen zu hinterlassen. Zugleich ist die Malware dazu in der Lage, Remote-Desktop-Tools wie AnyDesk oder RUT unauffällig zu installieren und zu starten.
Zusätzlich verfügt Skitnet über Befehle, um Daten zu exfiltrieren und Sicherheitsprodukte aufzuzählen. Dank Persistenzmechanismen wie DLL-Hijacking und PowerShell-basierte Ausführung, kann die Schadsoftware dauerhaft auf kompromittierten Systemen aktiv bleiben.
No Responses