랜섬웨어 갱들이 Skitnet이라는 새로운 맬웨어를 사용하여 침투한 네트워크에서 은밀한 후속 활동을 수행하는 것이 늘고 있습니다. 이 맬웨어는 2024년 4월부터 RAMP와 같은 지하 포럼에서 판매되었지만, Prodaft 연구원들에 따르면 2025년 초부터 랜섬웨어 갱들 사이에서 크게 주목받기 시작했습니다. Prodaft는 BleepingComputer에게 BlackBasta가 Microsoft Teams에 대한 피싱 공격과 Cactus를 포함하여 실제 공격에서 Skitnet을 배포하는 여러 랜섬웨어 작업을 관찰했다고 전했습니다.
Skitnet 감염은 Rust 기반 로더가 대상 시스템에 드롭되고 실행되면 시작되며, 이 로더는 ChaCha20으로 암호화된 Nim 바이너리를 복호화하고 메모리에 로드합니다. Nim 페이로드는 DNS 기반 역쉘을 설정하여 명령 및 제어(C2) 서버와 통신하며, 무작위 DNS 쿼리로 세션을 시작합니다. 맬웨어는 하트비트 DNS 요청을 보내는 스레드, 쉘 출력을 모니터링하고 추출하는 스레드, DNS 응답에서 명령을 수신하고 복호화하는 스레드를 시작합니다. 통신과 실행할 명령은 Skitnet C2 제어 패널을 통해 발행된 명령에 따라 HTTP 또는 DNS를 통해 전송됩니다.
랜섬웨어 그룹들은 종종 특정 작업에 맞춤화된 도구를 사용하고, 이들 도구는 낮은 AV 탐지율을 가지지만, 개발하는 데 비용이 많이 들고 항상 사용할 수 있는 숙련된 개발자가 필요합니다. Skitnet과 같은 준비된 맬웨어를 사용하는 것은 더 싸고 빠르게 배포할 수 있으며, 많은 위협 행위자들이 이를 사용하기 때문에 속성을 더 어렵게 만들 수 있습니다. 랜섬웨어 영역에서는 두 가지 접근법, 심지어 두 가지의 혼합에 대한 여지가 있지만, Skitnet의 기능은 해커들에게 특히 매력적입니다. Prodaft는 Skitnet과 관련된 위험 지표(IoCs)를 GitHub 저장소에 게시했습니다.
요약
- 랜섬웨어 갱들이 Skitnet이라는 새로운 맬웨어를 사용하여 침투한 네트워크에서 은밀한 후속 활동을 수행하는 것이 늘고 있다.
- Skitnet 감염은 Rust 기반 로더가 대상 시스템에 드롭되고 실행되면 시작되며, 이 로더는 ChaCha20으로 암호화된 Nim 바이너리를 복호화하고 메모리에 로드한다.
- 랜섬웨어 그룹들은 종종 특정 작업에 맞춤화된 도구를 사용하고, 이들 도구는 낮은 AV 탐지율을 가지지만, 개발하는 데 비용이 많이 들고 항상 사용할 수 있는 숙련된 개발자가 필요하다.
- Skitnet과 같은 준비된 맬웨어를 사용하는 것은 더 싸고 빠르게 배포할 수 있으며, 많은 위협 행위자들이 이를 사용하기 때문에 속성을 더 어렵게 만들 수 있다.
- Prodaft는 Skitnet과 관련된 위험 지표(IoCs)를 GitHub 저장소에 게시했다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.