Siber güvenlik araştırmacıları, Arka Plan Akıllı Aktarım Hizmeti (Arka Plan Akıllı Aktarım Hizmeti) adı verilen yerleşik bir özelliği kullanan, daha önce belgelenmemiş bir Windows arka kapısı keşfettiler.BITS) bir komuta-kontrol (C2) mekanizması olarak.
Yeni tanımlanan kötü amaçlı yazılım türünün kod adı şu şekildedir: BITSLOTH Elastic Security Labs tarafından 25 Haziran 2024’te Güney Amerika hükümetinin belirtilmemiş bir Dışişleri Bakanlığını hedef alan bir siber saldırıyla bağlantılı olarak keşfedildi. Etkinlik kümesi REF8747 takma adı altında izleniyor.
“Bu yayının yazıldığı tarihteki en güncel arka kapı yinelemesi, tuş kaydı ve ekran yakalama yetenekleri de dahil olmak üzere 35 işleyici işlevine sahip,” diyor güvenlik araştırmacıları Seth Goodwin ve Daniel Stepanic. söz konusu“Ayrıca BITSLOTH, keşif, numaralandırma ve komut satırı yürütme için birçok farklı özellik içeriyor.”
Aralık 2021’den beri geliştirilmekte olan aracın tehdit aktörleri tarafından veri toplama amaçlarıyla kullanıldığı değerlendiriliyor. Şu anda bunun arkasında kimin olduğu belli değil, ancak bir kaynak kodu analizi, yazarların Çince konuşanlar olabileceğini düşündüren günlük kaydı işlevlerini ve dizelerini ortaya çıkardı.
Çin’e yönelik bir diğer potansiyel bağlantı ise açık kaynaklı bir aracın kullanımından kaynaklanıyor. YüzükQRingQ, kötü amaçlı yazılımı şifrelemek ve güvenlik yazılımları tarafından tespit edilmesini önlemek için kullanılır; daha sonra şifresi çözülür ve doğrudan bellekte yürütülür.
Haziran 2024’te AhnLab Güvenlik İstihbarat Merkezi’nin (ASEC) savunmasız web sunucularının, daha sonra RingQ aracılığıyla bir kripto para madencisi de dahil olmak üzere ek yükler sunmak için kullanılan web kabuklarını düşürmek için istismar edildiğini ortaya çıkardı. Saldırılar Çince konuşan bir tehdit aktörüne atfedildi.
Saldırı ayrıca, şifrelenmiş C2 trafiğini HTTP üzerinden iletmek için STOWAWAY’in ve daha önce Bronze Starlight (diğer adıyla Emperor Dragonfly) adlı bir Çinli siber casusluk grubu tarafından Cheerscrypt fidye yazılımı saldırılarında kullanılan iox adlı bir port yönlendirme yardımcı programının kullanılmasıyla da dikkat çekiyor.
DLL dosyası (“flengine.dll”) biçimini alan BITSLOTH, Image-Line ile ilişkili meşru bir yürütülebilir dosya kullanılarak DLL yan yükleme teknikleri aracılığıyla yüklenir. FL Stüdyosu (“fl.exe”).
Araştırmacılar, “Son sürümde, BITSLOTH’un kurban ortamında çalışması gereken belirli zamanları kontrol etmek için geliştirici tarafından yeni bir zamanlama bileşeni eklendi,” dedi. “Bu, EAGERBEE gibi diğer modern kötü amaçlı yazılım ailelerinde gözlemlediğimiz bir özellik.”
Tam donanımlı bir arka kapı olan BITSLOTH, komutları çalıştırıp yürütme, dosyaları yükleme ve indirme, numaralandırma ve keşif yapma ve tuş kaydı ve ekran görüntüsü alma yoluyla hassas verileri toplama yeteneğine sahiptir.
Ayrıca iletişim modunu HTTP veya HTTPS olarak ayarlayabilir, kalıcılığı kaldırabilir veya yeniden yapılandırabilir, keyfi işlemleri sonlandırabilir, kullanıcıları makineden kapatabilir, sistemi yeniden başlatabilir veya kapatabilir ve hatta kendisini ana bilgisayardan güncelleyebilir veya silebilir. Kötü amaçlı yazılımın tanımlayıcı bir yönü, C2 için BITS’i kullanmasıdır.
Araştırmacılar, “Bu ortam, birçok kuruluşun hâlâ BITS ağ trafiğini izlemek ve sıra dışı BITS işlerini tespit etmek için çabalaması nedeniyle saldırganlar için cazip hale geliyor” diye ekledi.
