- 13,854
- 20
- 8 Ноя 2022
Исследователи предупреждают о трудностях обнаружения аномалий в работе BITS.
Специалисты кибербезопасности из компании Elastic Для просмотра ссылки Войдиили Зарегистрируйся новую вредоносную программу для Windows , использующую встроенную функцию Background Intelligent Transfer Service (BITS) в качестве механизма командного управления.
Бэкдор, получивший название BITSLOTH, был выявлен 25 июня этого года, в ходе кибератаки на неназванное Министерство иностранных дел одной из стран Южной Америки. За деятельностью этого киберпреступного объединения исследователи следят под кодовым именем REF8747.
По словам Сета Гудвина и Даниэля Степаника, текущая версия BITSLOTH включает 35 вредоносных функций, таких как кейлоггинг и захват экрана. Программа также обладает множеством возможностей для обнаружения, перечисления и выполнения командной строки.
Предполагается, что инструмент разрабатывается с декабря 2021 года и используется злоумышленниками для сбора данных. Точное происхождение BITSLOTH пока не установлено, однако анализ исходного кода указывает на возможных авторов, говорящих на китайском языке.
Еще одной возможной связью с Китаем является использование открытого инструмента RingQ, который применяется для шифрования вредоносного ПО и обхода защитных механизмов. После этого программное обеспечение расшифровывается и выполняется непосредственно в памяти.
В июне 2024 года Центр безопасности AhnLab ( ASEC ) Для просмотра ссылки Войдиили Зарегистрируйся что уязвимые веб-серверы используются для размещения веб-оболочек, через которые доставляются дополнительные вредоносные программы, включая криптомайнеры с помощью RingQ. Эти атаки также связывают с китаеязычными злоумышленниками.
Атаки с применением BITSLOTH также примечательны использованием инструмента STOWAWAY для проксирования зашифрованного C2 -трафика через HTTP , а также утилиты для перенаправления портов IOX, ранее использовавшейся китайской кибершпионской группой Bronze Starlight (известной как Emperor Dragonfly) в атаках с использованием программы-вымогателя Cheerscrypt.
BITSLOTH загружается с помощью техники DLL Sideloading , используя легитимный исполняемый файл, связанный с программой FL Studio («fl.exe»). В последней версии BITSLOTH разработчики добавили новый компонент для управления временем работы вредоносного ПО на заражённом компьютере.
BITSLOTH представляет собой полноценную вредоносную программу с возможностями выполнения команд, загрузки и выгрузки файлов, обнаружения и сбора данных, включая кейлоггинг и захват экрана. Она может устанавливать режим связи через HTTP или HTTPS, изменять или удалять свою устойчивость, завершать произвольные процессы, отключать пользователей, перезагружать или выключать систему, а также обновляться или удаляться с хоста.
Исследователи отмечают, что использование функции BITS особенно привлекает злоумышленников, так как многие организации до сих пор испытывают трудности с мониторингом сетевого трафика BITS и обнаружением аномалий в работе этой функции.
Специалисты кибербезопасности из компании Elastic Для просмотра ссылки Войди
Бэкдор, получивший название BITSLOTH, был выявлен 25 июня этого года, в ходе кибератаки на неназванное Министерство иностранных дел одной из стран Южной Америки. За деятельностью этого киберпреступного объединения исследователи следят под кодовым именем REF8747.
По словам Сета Гудвина и Даниэля Степаника, текущая версия BITSLOTH включает 35 вредоносных функций, таких как кейлоггинг и захват экрана. Программа также обладает множеством возможностей для обнаружения, перечисления и выполнения командной строки.
Предполагается, что инструмент разрабатывается с декабря 2021 года и используется злоумышленниками для сбора данных. Точное происхождение BITSLOTH пока не установлено, однако анализ исходного кода указывает на возможных авторов, говорящих на китайском языке.
Еще одной возможной связью с Китаем является использование открытого инструмента RingQ, который применяется для шифрования вредоносного ПО и обхода защитных механизмов. После этого программное обеспечение расшифровывается и выполняется непосредственно в памяти.
В июне 2024 года Центр безопасности AhnLab ( ASEC ) Для просмотра ссылки Войди
Атаки с применением BITSLOTH также примечательны использованием инструмента STOWAWAY для проксирования зашифрованного C2 -трафика через HTTP , а также утилиты для перенаправления портов IOX, ранее использовавшейся китайской кибершпионской группой Bronze Starlight (известной как Emperor Dragonfly) в атаках с использованием программы-вымогателя Cheerscrypt.
BITSLOTH загружается с помощью техники DLL Sideloading , используя легитимный исполняемый файл, связанный с программой FL Studio («fl.exe»). В последней версии BITSLOTH разработчики добавили новый компонент для управления временем работы вредоносного ПО на заражённом компьютере.
BITSLOTH представляет собой полноценную вредоносную программу с возможностями выполнения команд, загрузки и выгрузки файлов, обнаружения и сбора данных, включая кейлоггинг и захват экрана. Она может устанавливать режим связи через HTTP или HTTPS, изменять или удалять свою устойчивость, завершать произвольные процессы, отключать пользователей, перезагружать или выключать систему, а также обновляться или удаляться с хоста.
Исследователи отмечают, что использование функции BITS особенно привлекает злоумышленников, так как многие организации до сих пор испытывают трудности с мониторингом сетевого трафика BITS и обнаружением аномалий в работе этой функции.
- Источник новости
- www.securitylab.ru
