Yeni Windows Arka Kapısı BITSLOTH, Gizli İletişim için BITS'den Yararlanıyor

Yeni tanımlanan kötü amaçlı yazılım türü, 25 Haziran 2024'te bir Güney Amerika hükümetinin belirtilmemiş bir Dışişleri Bakanlığı'nı hedef alan bir siber saldırıyla bağlantılı olarak keşfi yapan Elastic Security Labs tarafından BITSLOTH olarak kodlandı. Etkinlik kümesi takma ad REF8747 altında izlenmektedir.

Güvenlik araştırmacıları Seth Goodwin ve Daniel Stepanic, "Bu yayının yapıldığı sırada arka kapının en güncel yinelemesi, keylogging ve ekran yakalama yetenekleri de dahil olmak üzere 35 işleyici işlevine sahip" dedi. "Ek olarak, BITSLOTH keşif, numaralandırma ve komut satırı yürütme için birçok farklı özellik içeriyor."

Aralık 2021'den bu yana geliştirilmekte olan aracın, tehdit aktörleri tarafından veri toplama amacıyla kullanıldığı değerlendiriliyor. Şu anda arkasında kimin olduğu belli değil, ancak bir kaynak kodu analizi, yazarların Çince konuşanlar olabileceğini düşündüren günlük işlevlerini ve dizelerini ortaya çıkardı.

Çin'e bir başka potansiyel bağlantı, RingQ adlı açık kaynaklı bir aracın kullanılmasından geliyor. RingQ, kötü amaçlı yazılımı şifrelemek ve güvenlik yazılımı tarafından algılanmasını önlemek için kullanılır, daha sonra şifresi çözülür ve doğrudan bellekte yürütülür.

Haziran 2024'te AhnLab Güvenlik İstihbarat Merkezi'nin (ASEC), savunmasız web sunucularının web kabuklarını düşürmek için kullanıldığını ve daha sonra RingQ aracılığıyla bir kripto para madencisi de dahil olmak üzere ek yükler sağlamak için kullanıldığını ortaya çıkardı. Saldırılar, Çince konuşan bir tehdit aktörüne bağlandı.

Saldırı ayrıca, STOWAWAY'in HTTP üzerinden şifreli C2 trafiğini proxy olarak kullanması ve daha önce Cheerscrypt fidye yazılımı saldırılarında Bronze Starlight (diğer adıyla İmparator Dragonfly) adlı Çinli bir siber casusluk grubu tarafından kullanılan iox adlı bir bağlantı noktası yönlendirme yardımcı programı için de dikkate değerdir.

Bir DLL dosyası ("flengine.dll") biçimini alan BITSLOTH, FL Studio ("fl.exe") olarak bilinen Image-Line ile ilişkili meşru bir yürütülebilir dosya kullanılarak DLL yandan yükleme teknikleri aracılığıyla yüklenir.

Araştırmacılar, "En son sürümde, BITSLOTH'un kurban ortamında çalışması gereken belirli zamanları kontrol etmek için geliştirici tarafından yeni bir zamanlama bileşeni eklendi" dedi. "Bu, EAGERBEE gibi diğer modern kötü amaçlı yazılım ailelerinde gözlemlediğimiz bir özellik."

Tam özellikli bir arka kapı olan BITSLOTH, komutları çalıştırma ve yürütme, dosya yükleme ve indirme, numaralandırma ve keşif gerçekleştirme ve keylogging ve ekran yakalama yoluyla hassas verileri toplama yeteneğine sahiptir.

Ayrıca iletişim modunu HTTP veya HTTPS olarak ayarlayabilir, kalıcılığı kaldırabilir veya yeniden yapılandırabilir, rastgele işlemleri sonlandırabilir, kullanıcıların makineden oturumunu kapatabilir, sistemi yeniden başlatabilir veya kapatabilir ve hatta kendisini ana bilgisayardan güncelleyebilir veya silebilir. Kötü amaçlı yazılımın tanımlayıcı bir yönü, C2 için BITS kullanmasıdır.

Araştırmacılar, "Bu ortam düşmanlar için çekici çünkü birçok kuruluş hala BITS ağ trafiğini izlemek ve olağandışı BITS işlerini tespit etmek için mücadele ediyor" diye ekledi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği