Siber güvenlik araştırmacıları, daha önce belgelenmemiş bir Windows arka kapısını keşfetti. Bu arka kapı, Arka Plan Akıllı Aktarım Hizmeti (BITS) adı verilen yerleşik bir özelliği komut ve kontrol (C2) mekanizması olarak kullanıyor.
Yeni tanımlanan kötü amaçlı yazılım türünün kod adı şu şekildedir: BITSLOTH Elastic Security Labs tarafından 25 Haziran 2024’te Güney Amerika hükümetinin belirtilmemiş bir Dışişleri Bakanlığını hedef alan bir siber saldırıyla bağlantılı olarak keşfedildi. Etkinlik kümesi REF8747 takma adı altında izleniyor.
Güvenlik araştırmacıları Seth Goodwin ve Daniel Stepanic, “Bu yayın sırasında arka kapının en güncel yinelemesi, tuş kaydı ve ekran yakalama yetenekleri de dahil olmak üzere 35 işleyici işlevine sahiptir” dedi. “Ek olarak, BITSLOTH keşif, numaralandırma ve komut satırı yürütme için birçok farklı özellik içerir.”
Aralık 2021’den beri geliştirilmekte olan aracın tehdit aktörleri tarafından veri toplama amaçlarıyla kullanıldığı değerlendiriliyor. Şu anda bunun arkasında kimin olduğu belli değil, ancak bir kaynak kodu analizi, yazarların Çince konuşanlar olabileceğini düşündüren günlük kaydı işlevlerini ve dizelerini ortaya çıkardı.
Çin’e bir diğer olası bağlantı ise RingQ adlı açık kaynaklı bir aracın kullanımından geliyor. RingQ, kötü amaçlı yazılımı şifrelemek ve güvenlik yazılımı tarafından tespit edilmesini önlemek için kullanılıyor, ardından şifresi çözülüyor ve doğrudan bellekte yürütülüyor.
Haziran 2024’te AhnLab Güvenlik İstihbarat Merkezi’nin (ASEC) savunmasız web sunucularının, daha sonra RingQ aracılığıyla bir kripto para madencisi de dahil olmak üzere ek yükler sunmak için kullanılan web kabuklarını düşürmek için istismar edildiğini ortaya çıkardı. Saldırılar Çince konuşan bir tehdit aktörüne atfedildi.
Saldırı ayrıca, şifrelenmiş C2 trafiğini HTTP üzerinden iletmek için STOWAWAY’in ve daha önce Bronze Starlight (diğer adıyla Emperor Dragonfly) adlı bir Çinli siber casusluk grubu tarafından Cheerscrypt fidye yazılımı saldırılarında kullanılan iox adlı bir port yönlendirme yardımcı programının kullanılmasıyla da dikkat çekiyor.
DLL dosyası (“flengine.dll”) biçiminde olan BITSLOTH, Image-Line ile ilişkili meşru bir yürütülebilir dosya olan FL Studio (“fl.exe”) kullanılarak DLL yan yükleme teknikleri vasıtasıyla yüklenir.
Araştırmacılar, “Son sürümde, BITSLOTH’un kurban ortamında çalışması gereken belirli zamanları kontrol etmek için geliştirici tarafından yeni bir zamanlama bileşeni eklendi,” dedi. “Bu, EAGERBEE gibi diğer modern kötü amaçlı yazılım ailelerinde gözlemlediğimiz bir özellik.”
Tam donanımlı bir arka kapı olan BITSLOTH, komutları çalıştırıp yürütme, dosyaları yükleme ve indirme, numaralandırma ve keşif yapma ve tuş kaydı ve ekran görüntüsü alma yoluyla hassas verileri toplama yeteneğine sahiptir.
Ayrıca iletişim modunu HTTP veya HTTPS olarak ayarlayabilir, kalıcılığı kaldırabilir veya yeniden yapılandırabilir, keyfi işlemleri sonlandırabilir, kullanıcıları makineden kapatabilir, sistemi yeniden başlatabilir veya kapatabilir ve hatta kendisini ana bilgisayardan güncelleyebilir veya silebilir. Kötü amaçlı yazılımın tanımlayıcı bir yönü, C2 için BITS’i kullanmasıdır.
Araştırmacılar, “Bu ortam, birçok kuruluşun hâlâ BITS ağ trafiğini izlemek ve sıra dışı BITS işlerini tespit etmek için çabalaması nedeniyle saldırganlar için cazip hale geliyor” diye ekledi.