ランサムウェア集団がSkitnetマルウェアを使用してデータを密かに盗み、リモートアクセスを確立

いくつかのランサムウェアアクターが、侵害後の活動の一環として、Skitnetというマルウェアを使用して機密データを盗み、侵害されたホストにリモートコントロールを確立しています。

「Skitnetは2024年4月からRAMPのような地下フォーラムで販売されています」とスイスのサイバーセキュリティ会社PRODAFTはThe Hacker Newsに語りました。「しかし、2025年初頭から、複数のランサムウェアオペレーターが実際の攻撃でこれを使用しているのを観察しています。」

「例えば、2025年4月には、Black Bastaが企業環境をターゲットにしたTeamsをテーマにしたフィッシングキャンペーンでSkitnetを活用しました。そのステルス機能と柔軟なアーキテクチャにより、Skitnetはランサムウェアエコシステム内で急速に注目を集めているようです。」

SkitnetはBossnetとも呼ばれ、LARVA-306という名前で追跡されている脅威アクターによって開発された多段階マルウェアです。この悪意のあるツールの注目すべき点は、RustやNimのようなプログラミング言語を使用してDNS経由でリバースシェルを起動し、検出を回避することです。

また、持続性メカニズム、リモートアクセスツール、データ流出のためのコマンドを組み込み、追加のペイロードを提供するために使用できる.NETローダーバイナリをダウンロードすることもできるため、多用途の脅威となっています。

2024年4月19日に初めて広告されたSkitnetは、サーバーコンポーネントとマルウェアを含む「コンパクトパッケージ」として潜在的な顧客に提供されています。最初の実行可能ファイルはRustバイナリで、Nimでコンパイルされた埋め込みペイロードを復号化して実行します。

「このNimバイナリの主な機能は、DNS解決を介してC2 [コマンド・アンド・コントロール] サーバーとのリバースシェル接続を確立することです」とPRODAFTは述べています。「検出を回避するために、従来のインポートテーブルを使用するのではなく、GetProcAddress関数を使用してAPI関数のアドレスを動的に解決します。」

Nimベースのバイナリはさらに複数のスレッドを開始し、10秒ごとにDNSリクエストを送信し、DNS応答を読み取り、ホスト上で実行されるコマンドを抽出し、コマンドの実行結果をサーバーに送信します。コマンドは感染したホストを管理するために使用されるC2パネルを介して発行されます。

サポートされているPowerShellコマンドの一部を以下に示します –

• Startup: 被害者のデバイスのスタートアップディレクトリにショートカットを作成して持続性を確保します
• Screen: 被害者のデスクトップのスクリーンショットをキャプチャします
• Anydesk/Rutserv: AnyDeskやRemote Utilities（「rutserv.exe」）のような正当なリモートデスクトップソフトウェアを展開します
• Shell: リモートサーバーにホストされているPowerShellスクリプトを実行し、その結果をC2サーバーに送信します
• AV: インストールされているセキュリティ製品のリストを収集します

「Skitnetは、複数のプログラミング言語と暗号化技術を活用した多段階マルウェアです」とPRODAFTは述べています。「Rustを使用してペイロードの復号化と手動マッピングを行い、その後、NimベースのリバースシェルがDNSを介して通信し、マルウェアは従来のセキュリティ対策を回避しようとします。」

この開示は、Zscaler ThreatLabzが、アメリカの法律事務所をターゲットにしたランサムウェア株「Morpheus」を配信するために使用されている「TransferLoader」と呼ばれる別のマルウェアローダーを詳細に説明したことに伴うものです。

少なくとも2025年2月以来活動しているTransferLoaderは、ダウンローダー、バックドア、バックドア用の特殊なローダーの3つのコンポーネントを組み込み、脅威アクターが侵害されたシステムで任意のコマンドを実行できるようにします。

ダウンローダーは、C2サーバーからペイロードを取得して実行し、同時にPDFデコイファイルを実行するように設計されています。バックドアは、サーバーから発行されたコマンドを実行し、自身の設定を更新する役割を担っています。

「バックドアは、コマンド・アンド・コントロール（C2）サーバーを更新するためのフォールバックチャネルとして、分散型のInterPlanetary File System（IPFS）ピアツーピアプラットフォームを利用しています」とサイバーセキュリティ会社は述べています。「TransferLoaderの開発者は、リバースエンジニアリングプロセスをより面倒にするために難読化手法を使用しています。」