Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une porte d\u00e9rob\u00e9e Windows jusqu’alors non document\u00e9e qui exploite une fonctionnalit\u00e9 int\u00e9gr\u00e9e appel\u00e9e Background Intelligent Transfer Service (MORCEAUX<\/a>) comme m\u00e9canisme de commandement et de contr\u00f4le (C2).<\/p>\n La nouvelle souche de malware identifi\u00e9e a re\u00e7u le nom de code BIT PARESSEUX<\/strong> par Elastic Security Labs, qui a fait cette d\u00e9couverte le 25 juin 2024, en lien avec une cyberattaque visant un minist\u00e8re des Affaires \u00e9trang\u00e8res non sp\u00e9cifi\u00e9 d’un gouvernement sud-am\u00e9ricain. Le groupe d’activit\u00e9s est suivi sous le nom REF8747.<\/p>\n \u00ab L’it\u00e9ration la plus r\u00e9cente de la porte d\u00e9rob\u00e9e au moment de cette publication comporte 35 fonctions de gestion, notamment des capacit\u00e9s d’enregistrement de frappe et de capture d’\u00e9cran \u00bb, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Seth Goodwin et Daniel Stepanic. dit<\/a>. \u00ab De plus, BITSLOTH contient de nombreuses fonctionnalit\u00e9s diff\u00e9rentes pour la d\u00e9couverte, l’\u00e9num\u00e9ration et l’ex\u00e9cution en ligne de commande. \u00bb<\/p>\n Il semblerait que l’outil, en d\u00e9veloppement depuis d\u00e9cembre 2021, soit utilis\u00e9 par les acteurs malveillants \u00e0 des fins de collecte de donn\u00e9es. On ne sait pas encore clairement qui se cache derri\u00e8re, bien qu’une analyse du code source ait r\u00e9v\u00e9l\u00e9 des fonctions de journalisation et des cha\u00eenes sugg\u00e9rant que les auteurs pourraient \u00eatre des locuteurs chinois.<\/p>\n Un autre lien potentiel avec la Chine vient de l\u2019utilisation d\u2019un outil open source appel\u00e9 AnneauQ<\/a>. RingQ est utilis\u00e9 pour crypter les logiciels malveillants et emp\u00eacher leur d\u00e9tection par un logiciel de s\u00e9curit\u00e9, qui est ensuite d\u00e9crypt\u00e9 et ex\u00e9cut\u00e9 directement en m\u00e9moire.<\/p>\n En juin 2024, le centre de renseignement de s\u00e9curit\u00e9 AhnLab (ASEC) a r\u00e9v\u00e9l\u00e9 que des serveurs Web vuln\u00e9rables \u00e9taient exploit\u00e9s pour larguer des shells Web, qui sont ensuite exploit\u00e9s pour fournir des charges utiles suppl\u00e9mentaires, notamment un mineur de cryptomonnaie via RingQ. Les attaques ont \u00e9t\u00e9 attribu\u00e9es \u00e0 un acteur malveillant parlant chinois.<\/p>\n L’attaque est \u00e9galement remarquable pour l’utilisation de STOWAWAY pour proxy le trafic C2 chiffr\u00e9 via HTTP et un utilitaire de redirection de port appel\u00e9 iox, ce dernier ayant d\u00e9j\u00e0 \u00e9t\u00e9 exploit\u00e9 par un groupe de cyberespionnage chinois surnomm\u00e9 Bronze Starlight (alias Emperor Dragonfly) dans des attaques de ransomware Cheerscrypt.<\/p>\n BITSLOTH, qui prend la forme d’un fichier DLL (\u00ab flengine.dll \u00bb), est charg\u00e9 au moyen de techniques de chargement lat\u00e9ral DLL en utilisant un ex\u00e9cutable l\u00e9gitime associ\u00e9 \u00e0 Image-Line appel\u00e9 FL Studio<\/a> (\u00ab fl.exe \u00bb).<\/p>\n \u00ab Dans la derni\u00e8re version, un nouveau composant de planification a \u00e9t\u00e9 ajout\u00e9 par le d\u00e9veloppeur pour contr\u00f4ler les moments sp\u00e9cifiques auxquels BITSLOTH doit fonctionner dans un environnement de victime \u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab C’est une fonctionnalit\u00e9 que nous avons observ\u00e9e dans d’autres familles de malwares modernes telles que EAGERBEE. \u00bb<\/p>\n BITSLOTH est une porte d\u00e9rob\u00e9e compl\u00e8te capable d’ex\u00e9cuter et de lancer des commandes, de t\u00e9l\u00e9charger et de t\u00e9l\u00e9charger des fichiers, d’effectuer une \u00e9num\u00e9ration et une d\u00e9couverte, et de collecter des donn\u00e9es sensibles via l’enregistrement de frappe et la capture d’\u00e9cran.<\/p>\n Il peut \u00e9galement d\u00e9finir le mode de communication sur HTTP ou HTTPS, supprimer ou reconfigurer la persistance, mettre fin \u00e0 des processus arbitraires, d\u00e9connecter les utilisateurs de la machine, red\u00e9marrer ou arr\u00eater le syst\u00e8me et m\u00eame se mettre \u00e0 jour ou se supprimer de l’h\u00f4te. Un aspect d\u00e9terminant du malware est son utilisation de BITS pour C2.<\/p>\n \u00ab Ce support est attrayant pour les adversaires car de nombreuses organisations ont encore du mal \u00e0 surveiller le trafic r\u00e9seau BITS et \u00e0 d\u00e9tecter les t\u00e2ches BITS inhabituelles \u00bb, ont ajout\u00e9 les chercheurs.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/La-nouvelle-porte-derobee-Windows-BITSLOTH-exploite-BITS-pour-une.png\")
<\/a><\/center><\/section>\n