Специалисты кибербезопасности из компании Elastic обнаружилиновую вредоносную программу для Windows, использующую встроенную функцию Background Intelligent Transfer Service (BITS) в качестве механизма командного управления.
Бэкдор, получивший название BITSLOTH, был выявлен 25 июня этого года, в ходе кибератаки на неназванное Министерство иностранных дел одной из стран Южной Америки. За деятельностью этого киберпреступного объединения исследователи следят под кодовым именем REF8747.
По словам исследователей Сета Гудвина и Даниэля Степаника, текущая версия BITSLOTH включает 35 вредоносных функций, таких как кейлоггинг и захват экрана. Программа также обладает множеством возможностей для обнаружения, перечисления и выполнения командной строки.
Предполагается, что инструмент разрабатывается с декабря 2021 года и используется злоумышленниками для сбора данных. Точное происхождение BITSLOTH пока не установлено, однако анализ исходного кода указывает на возможных авторов, говорящих на китайском языке.
Еще одной возможной связью с Китаем является использование открытого инструмента RingQ, который применяется для шифрования вредоносного ПО и обхода защитных механизмов. После этого программное обеспечение расшифровывается и выполняется непосредственно в памяти.
В июне 2024 года Центр безопасности AhnLab (ASEC) сообщил, что уязвимые веб-серверы используются для размещения веб-оболочек, через которые доставляются дополнительные вредоносные программы, включая криптомайнеры с помощью RingQ. Эти атаки также связывают с китайскоязычными злоумышленниками.
Атаки с применением BITSLOTH также примечательны использованием инструмента STOWAWAY для проксирования зашифрованного ” data-html=”true” data-original-title=”C2″ >C2-трафика через ” data-html=”true” data-original-title=”HTTP” >HTTP, а также утилиты для перенаправления портов IOX, ранее использовавшейся китайской кибершпионской группой Bronze Starlight (известной как Emperor Dragonfly) в атаках с использованием программы-вымогателя Cheerscrypt.
BITSLOTH загружается с помощью техники DLL Sideloading, используя легитимный исполняемый файл, связанный с программой FL Studio (“fl.exe”). В последней версии BITSLOTH разработчики добавили новый компонент для управления временем работы вредоносного ПО на заражённом компьютере.
BITSLOTH представляет собой полноценную вредоносную программу с возможностями выполнения команд, загрузки и выгрузки файлов, обнаружения и сбора данных, включая кейлоггинг и захват экрана. Она может устанавливать режим связи через HTTP или HTTPS, изменять или удалять свою устойчивость, завершать произвольные процессы, отключать пользователей, перезагружать или выключать систему, а также обновляться или удаляться с хоста.
Исследователи отмечают, что использование функции BITS особенно привлекает злоумышленников, так как многие организации до сих пор испытывают трудности с мониторингом сетевого трафика BITS и обнаружением аномалий в работе функции.