نظام Windows Backdoor الجديد BITSLOTH يستغل BITS للاتصالات الخفية

نظام Windows Backdoor الجديد BITSLOTH يستغل BITS للاتصالات الخفية


02 أغسطس 2024رافي لاكشمانانالهجوم السيبراني / أمن ويندوز

نظام Windows Backdoor الجديد BITSLOTH يستغل BITS للاتصالات الخفية

اكتشف باحثو الأمن السيبراني بابًا خلفيًا غير موثق مسبقًا لنظام التشغيل Windows يستفيد من ميزة مضمنة تسمى خدمة النقل الذكي في الخلفية (أجزاء) كآلية للقيادة والسيطرة (C2).

تمت تسمية سلالة البرامج الضارة التي تم تحديدها حديثًا باسم رمزي بيتسلوث بواسطة Elastic Security Labs، التي اكتشفت هذا الاكتشاف في 25 يونيو 2024، فيما يتعلق بهجوم إلكتروني استهدف وزارة خارجية غير محددة تابعة لحكومة في أمريكا الجنوبية. يتم تعقب مجموعة النشاط تحت الاسم المستعار REF8747.

“إن أحدث إصدار من الباب الخلفي في وقت نشر هذا المنشور يحتوي على 35 وظيفة معالج بما في ذلك إمكانات تسجيل المفاتيح والتقاط الشاشة،” الباحثون الأمنيون سيث جودوين ودانيال ستيبانيك قال. “بالإضافة إلى ذلك، تحتوي BITSLOTH على العديد من الميزات المختلفة للاكتشاف والتعداد وتنفيذ سطر الأوامر.”

الأمن الإلكتروني

تشير التقديرات إلى أن الأداة – قيد التطوير منذ ديسمبر 2021 – يتم استخدامها من قبل الجهات الفاعلة في مجال التهديد لأغراض جمع البيانات. ليس من الواضح حاليًا من يقف وراء ذلك، على الرغم من أن تحليل كود المصدر كشف عن وظائف التسجيل والسلاسل التي تشير إلى أن المؤلفين يمكن أن يكونوا متحدثين باللغة الصينية.

هناك رابط محتمل آخر للصين يأتي من استخدام أداة مفتوحة المصدر تسمى RingQ. يتم استخدام RingQ لتشفير البرامج الضارة ومنع اكتشافها بواسطة برامج الأمان، والتي يتم بعد ذلك فك تشفيرها وتنفيذها مباشرة في الذاكرة.

في يونيو 2024، كشف مركز AhnLab للاستخبارات الأمنية (ASEC) أنه يتم استغلال خوادم الويب الضعيفة لإسقاط أغطية الويب، والتي يتم الاستفادة منها بعد ذلك لتقديم حمولات إضافية، بما في ذلك أداة تعدين العملة المشفرة عبر RingQ. ونُسبت الهجمات إلى جهة تهديد ناطقة باللغة الصينية.

يُلاحظ الهجوم أيضًا لاستخدام STOWAWAY لتوكيل حركة مرور C2 المشفرة عبر HTTP وأداة مساعدة لإعادة توجيه المنافذ تسمى iox، والتي تم الاستفادة من الأخيرة من قبل مجموعة تجسس إلكترونية صينية يطلق عليها اسم Bronze Starlight (المعروف أيضًا باسم Emperor Dragonfly) في برنامج الفدية Cheerscrypt الهجمات.

يتم تحميل BITSLOTH، الذي يأخذ شكل ملف DLL (“flengine.dll”)، عن طريق تقنيات التحميل الجانبي لـ DLL باستخدام ملف قابل للتنفيذ شرعي مرتبط بـ Image-Line المعروف باسم استوديو فلوريدا (“fl.exe”).

وقال الباحثون: “في الإصدار الأخير، أضاف المطور مكون جدولة جديدًا للتحكم في أوقات محددة يجب أن تعمل فيها BITSLOTH في بيئة الضحية”. “هذه ميزة لاحظناها في عائلات البرامج الضارة الحديثة الأخرى مثل EAGERBEE.”

باب خلفي كامل المواصفات، BITSLOTH قادر على تشغيل وتنفيذ الأوامر، وتحميل وتنزيل الملفات، وإجراء التعداد والاكتشاف، وجمع البيانات الحساسة من خلال تسجيل لوحة المفاتيح والتقاط الشاشة.

ويمكنه أيضًا ضبط وضع الاتصال على HTTP أو HTTPS، وإزالة الثبات أو إعادة تكوينه، وإنهاء العمليات التعسفية، وتسجيل خروج المستخدمين من الجهاز، وإعادة تشغيل النظام أو إيقاف تشغيله، وحتى تحديث نفسه أو حذفه من المضيف. أحد الجوانب المميزة للبرامج الضارة هو استخدامها لـ BITS لـ C2.

وأضاف الباحثون: “هذه الوسيلة جذابة للخصوم لأن العديد من المنظمات لا تزال تكافح من أجل مراقبة حركة مرور شبكة BITS واكتشاف وظائف BITS غير العادية”.

وجدت هذه المادة مثيرة للاهتمام؟ اتبعنا تويتر و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.





Source link

إرسال التعليق

تفقد ما فاتك