Yeni Windows Arka Kapısı BITSLOTH, Gizli İletişim için BITS'den Yararlanıyor
Siber güvenlik araştırmacıları, komut ve kontrol (C2) mekanizması olarak Arka Plan Akıllı Aktarım Hizmeti (BITS) adı verilen yerleşik bir özellikten yararlanan daha önce belgelenmemiş bir Windows arka kapısı keşfettiler.
Yeni tanımlanan kötü amaçlı yazılım türü, 25 Haziran 2024'te bir Güney Amerika hükümetinin belirtilmemiş bir Dışişleri Bakanlığı'nı hedef alan bir siber saldırıyla bağlantılı olarak keşfi yapan Elastic Security Labs tarafından BITSLOTH olarak kodlandı. Etkinlik kümesi takma ad REF8747 altında izlenmektedir.
Güvenlik araştırmacıları Seth Goodwin ve Daniel Stepanic, "Bu yayının yapıldığı sırada arka kapının en güncel yinelemesi, keylogging ve ekran yakalama yetenekleri de dahil olmak üzere 35 işleyici işlevine sahip" dedi. "Ek olarak, BITSLOTH keşif, numaralandırma ve komut satırı yürütme için birçok farklı özellik içeriyor."
Aralık 2021'den bu yana geliştirilmekte olan aracın, tehdit aktörleri tarafından veri toplama amacıyla kullanıldığı değerlendiriliyor. Şu anda arkasında kimin olduğu belli değil, ancak bir kaynak kodu analizi, yazarların Çince konuşanlar olabileceğini düşündüren günlük işlevlerini ve dizelerini ortaya çıkardı.
Çin'e bir başka potansiyel bağlantı, RingQ adlı açık kaynaklı bir aracın kullanılmasından geliyor. RingQ, kötü amaçlı yazılımı şifrelemek ve güvenlik yazılımı tarafından algılanmasını önlemek için kullanılır, daha sonra şifresi çözülür ve doğrudan bellekte yürütülür.
Haziran 2024'te AhnLab Güvenlik İstihbarat Merkezi'nin (ASEC), savunmasız web sunucularının web kabuklarını düşürmek için kullanıldığını ve daha sonra RingQ aracılığıyla bir kripto para madencisi de dahil olmak üzere ek yükler sağlamak için kullanıldığını ortaya çıkardı. Saldırılar, Çince konuşan bir tehdit aktörüne bağlandı.
Saldırı ayrıca, STOWAWAY'in HTTP üzerinden şifreli C2 trafiğini proxy olarak kullanması ve daha önce Cheerscrypt fidye yazılımı saldırılarında Bronze Starlight (diğer adıyla İmparator Dragonfly) adlı Çinli bir siber casusluk grubu tarafından kullanılan iox adlı bir bağlantı noktası yönlendirme yardımcı programı için de dikkate değerdir.
Bir DLL dosyası ("flengine.dll") biçimini alan BITSLOTH, FL Studio ("fl.exe") olarak bilinen Image-Line ile ilişkili meşru bir yürütülebilir dosya kullanılarak DLL yandan yükleme teknikleri aracılığıyla yüklenir.
Araştırmacılar, "En son sürümde, BITSLOTH'un kurban ortamında çalışması gereken belirli zamanları kontrol etmek için geliştirici tarafından yeni bir zamanlama bileşeni eklendi" dedi. "Bu, EAGERBEE gibi diğer modern kötü amaçlı yazılım ailelerinde gözlemlediğimiz bir özellik."
Tam özellikli bir arka kapı olan BITSLOTH, komutları çalıştırma ve yürütme, dosya yükleme ve indirme, numaralandırma ve keşif gerçekleştirme ve keylogging ve ekran yakalama yoluyla hassas verileri toplama yeteneğine sahiptir.
Ayrıca iletişim modunu HTTP veya HTTPS olarak ayarlayabilir, kalıcılığı kaldırabilir veya yeniden yapılandırabilir, rastgele işlemleri sonlandırabilir, kullanıcıların makineden oturumunu kapatabilir, sistemi yeniden başlatabilir veya kapatabilir ve hatta kendisini ana bilgisayardan güncelleyebilir veya silebilir. Kötü amaçlı yazılımın tanımlayıcı bir yönü, C2 için BITS kullanmasıdır.
Araştırmacılar, "Bu ortam düşmanlar için çekici çünkü birçok kuruluş hala BITS ağ trafiğini izlemek ve olağandışı BITS işlerini tespit etmek için mücadele ediyor" diye ekledi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı