Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν ανακαλύψει ένα μη τεκμηριωμένο backdoor στα Windows, που ονομάζεται BITSLOTH, το οποίο εκμεταλλεύεται μια ενσωματωμένη δυνατότητα γνωστή ως Background Intelligent Transfer Service (BITS) ως μηχανισμό εντολών και ελέγχου (C2).
Το νέο κακόβουλο λογισμικό (malware) εντοπίστηκε από την Elastic Security Labs στις 25 Ιουνίου 2024, σε σχέση με μια κυβερνοεπίθεση που στόχευε ένα Υπουργείο Εξωτερικών μιας χώρας της Νότιας Αμερικής. Αυτό το κακόβουλο λογισμικό έχει και την ονομασία REF8747.
Διαβάστε επίσης: Κακόβουλα αρχεία nmp κρύβουν backdoor code
Η επίθεση είναι αξιοσημείωτη για τη χρήση του STOWAWAY, το οποίο χρησιμοποιείται για τη διαμεσολάβηση κρυπτογραφημένης κυκλοφορίας C2 μέσω HTTP, καθώς και ενός εργαλείου προώθησης θυρών που ονομάζεται iox. Αυτό το τελευταίο έχει χρησιμοποιηθεί προηγουμένως από μια κινεζική ομάδα κυβερνοκατασκοπείας (spyware), γνωστή ως Bronze Starlight (ή Emperor Dragonfly), κατά τις επιθέσεις του ransomware Cheerscrypt.
Το BITSLOTH, το οποίο εμφανίζεται ως αρχείο DLL (“fengine.dll”), φορτώνεται μέσω DLL side-loading τεχνικών, χρησιμοποιώντας ένα νόμιμο εκτελέσιμο αρχείο που σχετίζεται με το Image-Line και είναι γνωστό ως FL Studio (“fl.exe”).
“Στην τελευταία έκδοση, ο προγραμματιστής πρόσθεσε ένα νέο στοιχείο που επιτρέπει τον έλεγχο συγκεκριμένων ωρών λειτουργίας του BITSLOTH στο περιβάλλον του θύματος,” ανέφεραν οι ερευνητές. “Αυτό το χαρακτηριστικό είναι κάτι που έχουμε παρατηρήσει και σε άλλες σύγχρονες οικογένειες κακόβουλου λογισμικού, όπως το EAGERBEE.”
Δείτε περισσότερα: Ο server ενός προμηθευτή ERP παραβιάστηκε για διανομή του Xctdoor backdoor
Ένα πλήρως εξοπλισμένο backdoor, το BITSLOTH είναι ικανό να τρέχει και να εκτελεί εντολές, να ανεβάζει και να κατεβάζει αρχεία, να απαριθμεί, να ανακαλύπτει και να συλλέγει ευαίσθητα δεδομένα μέσω καταγραφής πλήκτρων και λήψης screenshots.
Μπορεί επίσης να ρυθμίζει τη λειτουργία επικοινωνίας σε HTTP ή HTTPS, να αφαιρεί ή να αναδιαμορφώνει την επιμονή του, να τερματίζει αυθαίρετες εντολές, να αποσυνδέει χρήστες από το μηχάνημα, να επανεκκινεί ή να τερματίζει τη λειτουργία του συστήματος, ακόμη και να ενημερώνεται ή να διαγράφεται από τον κεντρικό υπολογιστή. Μια κρίσιμη πτυχή του κακόβουλου λογισμικού είναι η χρήση του BITS για τις εντολές C2.
Διαβάστε ακόμη: Κακόβουλη διαφημιστική καμπάνια διαδίδει το Oyster Backdoor
«Αυτό το μέσο προσελκύει τους hackers, καθώς πολλοί οργανισμοί συνεχίζουν να δυσκολεύονται να παρακολουθήσουν την κυκλοφορία του δικτύου BITS και να εντοπίσουν ασυνήθιστες εργασίες BITS», σημείωσαν οι ερευνητές.
Πηγή: thehackernews
 ως μηχανισμό εντολών και ελέγχου (C2).){kind=link}