Skitnet Nedir ve Nasıl Çalışır?
Ransomware dünyası, her geçen gün yeni tehlikeler ve komplikasyonlarla karşı karşıya kalıyor. Skitnet, bu bağlamda, son dönemlerde özellikle dikkat çeken bir zararlı yazılım. İsviçre merkezli siber güvenlik şirketi PRODAFT, Skitnet’in, çeşitli ransomware aktörleri tarafından kullanılan çok aşamalı bir zararlı yazılım olduğunu belirtiyor. Skitnet, özellikle verilerin çalınması ve uzaktan kontrol sağlanması amacıyla kullanılıyor.
Skitnet, yer altı forumlarında, örneğin RAMP gibi platformlarda, Nisan 2024’ten beri pazarlanıyor. Ancak 2025’in başlarından itibaren, birçok ransomware operatörünün gerçek dünyada bu yazılımı kullanmaya başladığı gözlemleniyor. Örneğin, Nisan 2025’te Black Basta adlı grubun, şirket ortamlarını hedef alan Teams temalı phishing kampanyalarında Skitnet’i kullandığı tespit edildi.
Skitnet’in Temel Özellikleri
Skitnet, başka bir adıyla Bossnet, LARVA-306 kod adıyla tanımlanan bir tehdit aktörü tarafından geliştirilen esnek bir zararlı yazılım. Bu yazılım, Rust ve Nim gibi programlama dilleri kullanarak DNS üzerinden bir ters bağlantı (reverse shell) oluşturuyor. Bu özellikleri, onun tespit edilmesini zorlaştırıyor.
Skitnet, sadece bir zararlı yazılım değil, aynı zamanda çok çeşitli yeteneklere sahip bir araçtır. Kalıcı olma mekanizmaları, uzaktan erişim araçları, veri aktarım komutları ve ek dosya yüklemeye yarayan bir .NET yükleyicisi (loader binary) içeriyor. Böylelikle Skitnet, çok yönlü bir tehdit oluşturuyor.
Skitnet’in İşleyişi
Skitnet, ilk olarak 19 Nisan 2024’te tanıtılmıştır ve müşterilerine "kompakt bir paket" olarak sunulmuştur. Bu paket, bir sunucu bileşeni ve zararlı yazılım içermektedir. İlk çalıştırılabilir dosya, Rust ile yazılmıştır ve gömülü bir yükü (payload) deşifre edip çalıştırır.
PRODAFT’a göre, bu Nim tabanlı binary, C2 (komut ve kontrol) sunucusuyla DNS üzerinden ters bağlantı kurma işlevine sahiptir. Tespit edilmekten kaçınmak için, API işlev adreslerini dinamik olarak çözümleme yapmak üzere GetProcAddress işlevini kullanıyor. Ayrıca, her 10 saniyede bir DNS istekleri gönderiyor, alınan yanıtları okuyor ve alınan komutları çalıştırıyor.
PowerShell Komutları ve Yetenekleri
Skitnet’in desteklediği bazı PowerShell komutları aşağıda sıralanmıştır:
- Startup: Kurban cihazının Başlangıç dizinine kısayollar oluşturarak kalıcılığı sağlamak.
- Screen: Kurbanın masaüstünden bir ekran görüntüsü alır.
- Anydesk/Rutserv: AnyDesk veya Remote Utilities gibi meşru uzaktan masaüstü yazılımlarını dağıtır.
- Shell: Uzak bir sunucuda barındırılan PowerShell betiklerini çalıştırır.
- AV: Yüklenmiş güvenlik ürünlerinin listesini toplar.
PRODAFT, Skitnet’in çok aşamalı bir zararlı yazılım olduğunu ve birden fazla programlama dili ile şifreleme teknikleri kullandığını vurguluyor. Rust ile yükün deşifre edilmesi ve Nim tabanlı ters bağlantı oluşturma yeteneği, geleneksel güvenlik önlemlerinden kaçınmayı amaçlıyor.
Diğer Tehditler: TransferLoader
Ransomware dünyasında Skitnet’in yanı sıra TransferLoader adlı başka bir zararlı yazılım da dikkat çekiyor. Bu yazılım, Morpheus isimli bir ransomware türünü dağıtmak için kullanılıyor. TransferLoader, en az Şubat 2025’ten beri aktif durumda olup, üç ana bileşenden oluşuyor: bir yükleyici, bir arka kapı (backdoor) ve bu arka kapıyı yükleyen özel bir yükleyici.
TransferLoader, C2 sunucusundan yükleri alma ve çalışan bir PDF dosyası gibi görünecek şekilde komutları yürütmek üzere tasarlanmıştır. Arka kapı ise sunucudan gelen komutları çalıştırma ve yapılandırmasını güncelleme işlevine sahiptir. Ayrıca, IPFS (InterPlanetary File System) platformunu yedek kanal olarak kullanarak, C2 sunucusunu güncelleyebilmekte.
Ransomware Tehditlerine Karşı Alınacak Önlemler
Ransomware tehditleri, siber güvenlik alanında ciddi bir sorun olmaya devam ediyor. Kuruluşların, bu tür yazılımlara karşı proaktif tedbirler alması önemlidir. Güvenlik yazılımlarını güncel tutmak, düzenli yedekleme yapmak ve kullanıcıları phishing taktiklerine karşı eğitmek, bu tür tehditlerle baş etme yollarından yalnızca birkaçıdır.
Bilgi güvenliği bilincinin artırılması ve teknolojik önlemlerin alınması, hem bireyler hem de şirketler için kritik öneme sahiptir. Unutulmamalıdır ki, bir ransomware saldırısı sonrasında geri dönüşü olmayan kayıplar yaşanabilir. Bu nedenle, önleyici stratejilerin hayata geçirilmesi elzemdir.
