网络安全研究人员发现了一个以前未记录的 Windows 后门,它利用名为后台智能传输服务 ( BITS )的内置功能作为命令和控制 (C2) 机制。
Elastic Security Labs 于 2024 年 6 月 25 日发现了这一新发现的恶意软件,该恶意软件与针对南美某政府外交部的网络攻击有关。该活动集群被标记为 REF8747 。
安全研究人员 Seth Goodwin 和 Daniel Stepanic表示:“本文发布时,后门的最新版本具有 35 种处理程序功能,包括键盘记录和屏幕捕获功能。此外,BITSLOTH 还包含许多用于发现、枚举和命令行执行的不同功能。”
据评估,该工具自 2021 年 12 月开始开发,被攻击者用于数据收集目的,目前尚不清楚幕后黑手是谁。
攻击者使用了名为RingQ的开源工具。RingQ 用于加密恶意软件并防止被安全软件检测,然后解密并直接在内存中执行。
2024 年 6 月,安实验室安全情报中心 (ASEC)透露,存在漏洞的 Web 服务器被利用来投放 Web Shell,然后利用这些 Web Shell 通过 RingQ 投递其他有效载荷,包括加密货币挖矿机。
此次攻击还因使用 STOWAWAY 通过 HTTP 代理加密的 C2 流量和名为 iox 的端口转发实用程序而引人注目,后者此前曾被名为Bronze Starlight(又名 Emperor Dragonfly)的网络间谍组织在 Cheerscrypt 勒索软件攻击中利用。
BITSLOTH 采用 DLL 文件(“flengine.dll”)的形式,通过使用与 Image-Line 关联的合法可执行文件(称为FL Studio(“fl.exe”),使用 DLL 侧加载技术进行加载。
研究人员表示:“在最新版本中,开发人员添加了一个新的调度组件,以控制 BITSLOTH 在受害者环境中运行的具体时间。这是我们在其他现代恶意软件家族(如EAGERBEE )中观察到的功能。”
BITSLOTH 是一个功能齐全的后门,能够运行和执行命令、上传和下载文件、执行枚举和发现以及通过键盘记录和屏幕捕获收集敏感数据。
它还可以将通信模式设置为 HTTP 或 HTTPS、删除或重新配置持久性、终止任意进程、从机器上注销用户、重新启动或关闭系统,甚至从主机上更新或删除自身。该恶意软件的一个定义方面是它使用 BITS 作为 C2。
研究人员补充道:“这种媒介对对手来说很有吸引力,因为许多组织仍在努力监控 BITS 网络流量和检测异常的 BITS 作业。”
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/3LDb_jS9vDUZpy-EIu4NnQ
暂无评论内容