Istraživači cyber sigurnosti otkrili su prethodno nedokumentovanu Windows backdoor koja koristi ugrađenu funkciju pod nazivom Pozadinski inteligentni transfer servis ( BITS ) kao mehanizam za komandu i kontrolu (C2).
Novoidentifikovani soj zlonamjernog softvera dobio je kodni naziv BITSLOTH od strane Elastic Security Labs, koji je otkrio 25. juna 2024. u vezi s cyber napadom usmjerenim na neodređeno ministarstvo vanjskih poslova vlade Južne Amerike. Grupa aktivnosti se prati pod imenom REF8747.
“Najnovija iteracija backdoor-a u vrijeme objavljivanja ove publikacije ima 35 funkcija rukovanja uključujući keylogging i mogućnosti snimanja ekrana”, rekli su istraživači sigurnosti Seth Goodwin i Daniel Stepanic . “Pored toga, BITSLOTH sadrži mnogo različitih funkcija za otkrivanje, nabrajanje i izvršavanje naredbene linije.”
Procjenjuje se da alat – u razvoju od decembra 2021. – koriste hakeri u svrhe prikupljanja podataka. Trenutno nije jasno ko stoji iza toga, iako je analiza izvornog koda otkrila funkcije evidentiranja i nizove koji sugerišu da bi autori mogli biti govornici kineskog.
Još jedna potencijalna veza sa Kinom dolazi od upotrebe alata otvorenog koda pod nazivom RingQ . RingQ se koristi za šifriranje zlonamjernog softvera i sprječavanje otkrivanja sigurnosnim softverom, koji se zatim dešifruje i izvršava direktno u memoriji.
U junu 2024., AhnLab Security Intelligence Center (ASEC) otkrio je da se ranjivi web serveri iskorištavaju za izbacivanje web školjki, koje se zatim koriste za isporuku dodatnih korisnih opterećenja, uključujući rudar kriptovalute putem RingQ-a. Napadi su pripisani pretnjama koji govore kineski.
Napad je takođe značajan po korištenju STOWAWAY za proksi šifrirani C2 promet preko HTTP-a i uslužnog programa za prosljeđivanje portova pod nazivom iox, od kojih je potonji ranije koristila kineska grupa za cyber špijunažu nazvana Bronze Starlight (aka Emperor Dragonfly) u Cheerscrypt ransomwareu. napada.
BITSLOTH, koji ima oblik DLL datoteke (“flengine.dll”), učitava se pomoću tehnika bočnog učitavanja DLL-a korištenjem legitimnog izvršnog fajla povezanog sa Image-Lineom poznatog kao FL Studio (“fl.exe”).
“U najnovijoj verziji, programer je dodao novu komponentu za planiranje kako bi kontrolisao određena vremena kada bi BITSLOTH trebao raditi u okruženju žrtve”, rekli su istraživači. “Ovo je karakteristika koju smo primijetili u drugim modernim porodicama zlonamjernog softvera kao što je EAGERBEE .”
Potpuno opremljen backdoor, BITSLOTH je sposoban za pokretanje i izvršavanje naredbi, učitavanje i preuzimanje datoteka, obavljanje nabrajanja i otkrivanja, te prikupljanje osjetljivih podataka putem keylogginga i snimanja ekrana.
Takođe može postaviti način komunikacije na HTTP ili HTTPS, ukloniti ili rekonfigurirati postojanost, prekinuti proizvoljne procese, odjaviti korisnike sa stroja, ponovo pokrenuti ili isključiti sistem, pa čak i ažurirati ili izbrisati sebe s hosta. Definirajući aspekt zlonamjernog softvera je njegova upotreba BITS-a za C2.
“Ovaj medij je privlačan protivnicima jer se mnoge organizacije i dalje bore da nadziru BITS mrežni promet i otkriju neobične BITS poslove”, dodali su istraživači.
Izvor:The Hacker News
