BITSLOTH: невидимый кибершпион в сердце вашей операционной системы

Специалисты кибербезопасности из компании Elastic обнаружили новую вредоносную программу для Windows, использующую встроенную функцию Background Intelligent Transfer Service (BITS) в качестве механизма командного управления.

Бэкдор, получивший название BITSLOTH, был выявлен 25 июня этого года, в ходе кибератаки на неназванное Министерство иностранных дел одной из стран Южной Америки. За деятельностью этого киберпреступного объединения исследователи следят под кодовым именем REF8747.

По словам Сета Гудвина и Даниэля Степаника, текущая версия BITSLOTH включает 35 вредоносных функций, таких как кейлоггинг и захват экрана. Программа также обладает множеством возможностей для обнаружения, перечисления и выполнения командной строки.

Предполагается, что инструмент разрабатывается с декабря 2021 года и используется злоумышленниками для сбора данных. Точное происхождение BITSLOTH пока не установлено, однако анализ исходного кода указывает на возможных авторов, говорящих на китайском языке.

Еще одной возможной связью с Китаем является использование открытого инструмента RingQ, который применяется для шифрования вредоносного ПО и обхода защитных механизмов. После этого программное обеспечение расшифровывается и выполняется непосредственно в памяти.

В июне 2024 года Центр безопасности AhnLab (ASEC) сообщил, что уязвимые веб-серверы используются для размещения веб-оболочек, через которые доставляются дополнительные вредоносные программы, включая криптомайнеры с помощью RingQ. Эти атаки также связывают с китаеязычными злоумышленниками.

Атаки с применением BITSLOTH также примечательны использованием инструмента STOWAWAY для проксирования зашифрованного C2-трафика через HTTP, а также утилиты для перенаправления портов IOX, ранее использовавшейся китайской кибершпионской группой Bronze Starlight (известной как Emperor Dragonfly) в атаках с использованием программы-вымогателя Cheerscrypt.

BITSLOTH загружается с помощью техники DLL Sideloading, используя легитимный исполняемый файл, связанный с программой FL Studio («fl.exe»). В последней версии BITSLOTH разработчики добавили новый компонент для управления временем работы вредоносного ПО на заражённом компьютере.

BITSLOTH представляет собой полноценную вредоносную программу с возможностями выполнения команд, загрузки и выгрузки файлов, обнаружения и сбора данных, включая кейлоггинг и захват экрана. Она может устанавливать режим связи через HTTP или HTTPS, изменять или удалять свою устойчивость, завершать произвольные процессы, отключать пользователей, перезагружать или выключать систему, а также обновляться или удаляться с хоста.

Исследователи отмечают, что использование функции BITS особенно привлекает злоумышленников, так как многие организации до сих пор испытывают трудности с мониторингом сетевого трафика BITS и обнаружением аномалий в работе этой функции.