Ирина Дмитриева, киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис», отмечает, что это пример эволюции вредоносных программ, который дёшев в настройке, сложен для обнаружения и используется кибергруппировками.
«Вредонос Skitnet (или Bossnet) сочетает в себе несколько опасных технологий. Её загрузчик написан на Rust, а основная часть — на языке Nim, что позволяет шифровать данные алгоритмом ChaCha20 и запускать код в памяти компьютера, избегая обнаружения традиционными антивирусами. Для скрытой связи с злоумышленниками Skitnet использует реверс-шелл на основе DNS-запросов, которые выглядят как обычный интернет-трафик, обходя защиту современных NGFW. Skitnet обладает модульной структурой, успешно сочетая в себе интеграцию с инструментами удалённого доступа (AnyDesk, RUT-Serv) и инжектируя вредоносные команды через PowerShell. Всё это позволяет злоумышленникам перемещаться внутри сети, сохранять контроль над системами и использовать легитимные программы (LOLbins) для маскировки атак. В перечне удобного функционала доступны закрепление в системе, команды записи и отправки скриншотов через PowerShell, отображение адреса цели, местоположения и статуса. В то же время ВПО может использовать возможности загрузчика .NET для кастомизации атак. В частности, операторы ВПО BlackBasta и Cactus уже использовали малварь в своих кибератаках», — объясняет киберспециалист.
Чтобы противостоять таким угрозам, по словам Дмитриевой, нужен комплексный подход, включающий современные технологии и строгие политики безопасности. «Для детектирования подобного вредоноса эффективно поможет мониторинг потенциального злоупотребления легальным ПО, например, системы UEBA помогут выявить скрытую установку AnyDesk или необычную активность. Подобный класс решений предоставляет компания "Газинформсервис": это продукт Ankey ASAP», — заключает Дмитриева.
