محققان امنیت سایبری یک درب پشتی ویندوز که قبلاً مستند نشده بود، به نام BITSLOTH کشف کردند که از یک ویژگی داخلی به نام سرویس انتقال هوشمند پسزمینه (BITS)[1] بهعنوان مکانیزم فرمان و کنترل (C2) استفاده میکند.
گونه جدید بدافزار شناساییشده توسط Elastic Security Labs با نام رمز BITSLOTH شناخته شده است که در ۲۵ ژوئن ۲۰۲۴ در ارتباط با یک حمله سایبری که وزارت خارجه نامشخصی از یک دولت آمریکای جنوبی را هدف قرار داده بود، این بدافزار را کشف کرد. خوشه فعالیت تحت نام REF8747 ردیابی میشود.
ست گودوین و دانیل استپانیک، محققین امنیتی، میگویند[۲]: «جدیدترین نسخه درب پشتی در زمان انتشار، دارای ۳۵ عملکرد کنترلکننده ازجمله قابلیتهای ثبت صفحهکلید و ضبط صفحه است». علاوه بر این، BITSLOTH شامل بسیاری از ویژگیهای مختلف برای کشف، شمارش و اجرای خط فرمان است.
ارزیابی میشود که این ابزار – درحالتوسعه از دسامبر ۲۰۲۱ – توسط عوامل تهدید برای اهداف جمعآوری داده استفاده میشود. در حال حاضر مشخص نیست چه کسی پشت آن است، اگرچه تجزیهوتحلیل کد منبع، توابع و رشتههایی را کشف کرده است که نشان میدهد نویسندگان میتوانند چینیزبان باشند.
یکی دیگر از پیوندهای بالقوه چین به دلیل استفاده از ابزار منبع باز به نام RingQ است. [۳]RingQ برای رمزگذاری بدافزار و جلوگیری از شناسایی توسط نرمافزار امنیتی استفاده میشود که سپس رمزگشاییشده و مستقیماً در حافظه اجرا میشود.
در ژوئن ۲۰۲۴، مرکز اطلاعات امنیتی AhnLab (ASEC) فاش کرد[۴] که وب سرورهای آسیبپذیر برای رها کردن پوستههای وب مورد بهرهبرداری قرار میگیرند، که سپس برای تحویل بارهای اضافی، ازجمله استخراجکننده ارز دیجیتال از طریق RingQ استفاده میشوند. این حملات به یک بازیگر تهدیدکننده چینیزبان نسبت داده شد.
این حمله همچنین به دلیل استفاده از STOWAWAY برای پراکسی کردن ترافیک C2 رمزگذاری شده از طریق HTTP و یک ابزار انتقال پورت به نام iox قابلتوجه است که مورد دوم قبلاً توسط یک گروه جاسوسی سایبری چینی به نام [۵]Bronze Starlight (معروف به امپراتور Dragonfly) در باج افزار Cheerscrypt مورداستفاده قرارگرفته است.
BITSLOTH که به شکل یک فایل DLL (“flengine.dll”) است، با استفاده از تکنیکهای بارگذاری جانبی DLL با استفاده از یک فایل اجرایی قانونی مرتبط با Image-Line معروف به [۶]FL Studio (“fl.exe”) بارگذاری میشود.
محققان میگویند: «در آخرین نسخه، یک مؤلفه زمانبندی جدید توسط توسعهدهنده اضافه شد تا زمانهای خاصی را که BITSLOTH باید در یک محیط قربانی کار کند، کنترل کند». این یک ویژگی است که ما در خانوادههای بدافزار مدرن دیگر مانند EAGERBEE[7] مشاهده کردهایم.
BITSLOTH یک درب پشتی با امکانات کامل، قادر به اجرای دستورات، آپلود و دانلود فایلها، انجام شمارش و کشف، و جمعآوری دادههای حساس از طریق keylogging و ضبط صفحه است.
همچنین میتواند حالت ارتباط را روی HTTP یا HTTPS تنظیم کند، ماندگاری را حذف یا دوباره پیکربندی کند، فرآیندهای دلخواه را خاتمه دهد، کاربران را از دستگاه خارج کند، سیستم را مجدداً راهاندازی یا خاموش کند، و حتی خود را از میزبان بهروزرسانی یا حذف کند. همچنین یک جنبه تعیینکننده بدافزار استفاده آن از BITS برای C2 است.
محققان افزودند: «این رسانه برای دشمنان جذاب است زیرا بسیاری از سازمانها هنوز برای نظارت بر ترافیک شبکه BITS و شناسایی مشاغل غیرعادی BITS تلاش میکنند.»
منابع
[۱] https://learn.microsoft.com/en-us/windows/win32/bits/background-intelligent-transfer-service-portal
[۲] https://www.elastic.co/security-labs/bits-and-bytes-analyzing-bitsloth
[۳] https://github.com/T4y1oR/RingQ
[۴] https://thehackernews.com/2024/06/rust-based-p2pinfect-botnet-evolves.html
[۵] https://thehackernews.com/2022/10/researchers-link-cheerscrypt-linux.html
[۶] https://support.image-line.com/action/knowledgebase?ans=526
[۷] https://thehackernews.com/2024/06/chinese-state-backed-cyber-espionage.html
[۸] https://thehackernews.com/2024/08/new-windows-backdoor-bitsloth-exploits.html
ثبت ديدگاه