Skitnet という多段型インフォ・スティーラーに注意:ステルス性を備え Black Basta ランサムウェアなどを配信

Ransomware Gangs Use Skitnet Malware for Stealthy Data Theft and Remote Access

2025/05/19 TheHackerNews — Skitnetと呼ばれるマルウェアを、ポスト・エクスプロイトで使用する複数のランサムウェア・グループが、機密データを窃取し、侵害したホストをリモート制御しようとしている。スイスのサイバー・セキュリティ企業 PRODAFT は、「Skitnet は、RAMP などのアンダーグラウンド・フォーラムで、2024年4月から販売されている。さらに、2025年の初頭以降においては、複数のランサムウェア攻撃者が、実際の攻撃で Skitnet を使用しているのを確認している」と、The Hacker News に述べている

同社は、「たとえば 2025年4月には、Teams を題材にしたフィッシング・キャンペーンを仕掛けた Black Basta が Skitnet を利用し、企業環境を標的としていた。ステルス機能と柔軟なアーキテクチャを備えた Skitnet は、ランサムウェア・エコシステム内で急速に勢いを増しているようだ」と述べている。

Bossnet とも呼ばれる Skitnet は、PRODAFT が LARVA-306 というコード名で追跡している、脅威アクターにより開発された多段階型マルウェアである。この悪意のツールの注目すべき点は、Rust や Nim といったプログラミング言語を用いて、DNS 経由でリバース・シェルを起動し、検出を回避しているところだ。

このマルウェアに取り込まれるのは、永続化メカニズム/リモート・アクセス・ツール/データ窃取用のコマンドに加えて、追加のペイロードの実行に使用する .NET ローダー・バイナリもあり、多用途な脅威となっている。

2024年4月19日に登場した Skitnet は、サーバー・コンポーネントとマルウェアを取り込んだ、Compact Package として顧客たちに提供されている。第一弾の実行ファイルは Rust バイナリであり、Nim でコンパイルされた埋め込みペイロードを復号して実行する。

PRODAFT は、「この Nim バイナリの主な機能は、DNS 解決を介して C2 (Command and Control) サーバとのリバースシェル接続を確立することだ。さらに、検出を回避するために、従来のインポート・テーブルではなく、GetProcAddress 関数を悪用して API 関数のアドレスを動的に解決している」と述べている。

さらに、Nim ベースのバイナリは複数のスレッドを起動し、10秒ごとに DNS リクエストを送信し、DNS レスポンスを読み取り、ホストで実行するコマンドを抽出し、コマンド実行結果を悪意のサーバに送信する。これらのコマンドは、感染ホストの管理に使用される C2 パネルを介して発行される。

サポートされている PowerShell コマンドの一部を以下に示す:

  • Startup:被害者のデバイスの StartUp ディレクトリにショートカットを作成することで、永続性を確保する。
  • Screen:被害者のデスクトップのスクリーン・ショットをキャプチャする。
  • Anydesk/Rutserv:AnyDesk や Remote Utilities (rutserv.exe) などの、正規の RDP ソフトウェアを展開する。
  • Shell:リモート・サーバでホストされる PowerShell スクリプトを実行し、その結果を C2 サーバに送信する。
  • AV:インストールされているセキュリティ製品の一覧を収集する。

PRODAFT は、「Skitnet は、複数のプログラミング言語と暗号化技術を活用する、多段階型のマルウェアである。このマルウェアは、ペイロードの復号と手動マッピングに Rust を用いて、DNS 経由で通信する Nim ベースのリバース・シェルを使用することで、従来のセキュリティ対策を回避しようとする」と述べている。

最近のことだが、米国の法律事務所を標的として、Morpheus と呼ばれるランサムウェアの亜種を拡散するために使用されているTransferLoaderと呼ばれる別のマルウェア・ローダーの詳細を、Zscaler ThreatLabz が明らかにしている。それを受けるかたちで、今回の情報開示は行われている。

遅くとも 2025年2月から活動している TransferLoader は、ダウンローダー/バックドア/バックドア専用ローダーという、3つのコンポーネントで構成されており、侵害したシステム上での、脅威アクターたちによる任意のコマンド実行をサポートしている。

このダウンローダーは、C2 サーバからペイロードを取得/実行し、それと同時に PDF デコイ・ファイルを実行するように設計されている。また、バックドアの方は、サーバから発行されたコマンドの実行と、自身のコンフィグレーションの更新を担っている。

Zscaler は、「このバックドアは、分散型 IPFS (InterPlanetary File System) peer-to-peer プラットフォームを、C2 サーバの更新のためのフォールバック・チャネルとして悪用している。TransferLoader の開発者は、リバース・エンジニアリングのプロセスを面倒なものにするために、洗練された難読化の手法を用いている」と述べている

Skitnet (別名:Bossnet) という新たな多段型インフォ・スティーラーが登場し、すでに複数のランサムウェア・グループにより使用されていることが判明したとのことです。よろしければ、カテゴリ MalwareRansomwareも、併せてご参照ください。