Pesquisadores de segurança cibernética descobriram um backdoor do Home windows não documentado anteriormente que utiliza um recurso integrado chamado Background Clever Switch Service (BITS) como um mecanismo de comando e controle (C2).
A cepa de malware recentemente identificada recebeu o codinome BITSLOTH pelo Elastic Safety Labs, que fez a descoberta em 25 de junho de 2024, em conexão com um ataque cibernético visando um Ministério das Relações Exteriores não especificado de um governo sul-americano. O cluster de atividade está sendo rastreado sob o apelido REF8747.
“A iteração mais atual do backdoor no momento desta publicação tem 35 funções de manipulador, incluindo keylogging e recursos de captura de tela”, disseram os pesquisadores de segurança Seth Goodwin e Daniel Stepanic. “Além disso, o BITSLOTH contém muitos recursos diferentes para descoberta, enumeração e execução de linha de comando.”
Foi avaliado que a ferramenta – em desenvolvimento desde dezembro de 2021 – está sendo usada pelos agentes da ameaça para fins de coleta de dados. Atualmente não está claro quem está por trás dela, embora uma análise do código-fonte tenha descoberto funções de registro e strings que sugerem que os autores podem ser falantes de chinês.
Outro possível elo com a China vem do uso de uma ferramenta de código aberto chamada RingQ. O RingQ é usado para criptografar o malware e impedir a detecção por software program de segurança, que é então descriptografado e executado diretamente na memória.
Em junho de 2024, o AhnLab Safety Intelligence Heart (ASEC) revelou que servidores net vulneráveis estão sendo explorados para lançar shells net, que são então aproveitados para entregar cargas úteis adicionais, incluindo um minerador de criptomoedas by way of RingQ. Os ataques foram atribuídos a um agente de ameaças de língua chinesa.
O ataque também é notável pelo uso do STOWAWAY para proxy de tráfego C2 criptografado por HTTP e um utilitário de encaminhamento de porta chamado iox, o último dos quais foi previamente aproveitado por um grupo chinês de espionagem cibernética apelidado de Bronze Starlight (também conhecido como Emperor Dragonfly) em ataques de ransomware Cheerscrypt.
O BITSLOTH, que assume a forma de um arquivo DLL (“flengine.dll”), é carregado por meio de técnicas de carregamento lateral de DLL usando um executável legítimo associado ao Picture-Line conhecido como FL Studio (“fl.exe”).
“Na versão mais recente, um novo componente de agendamento foi adicionado pelo desenvolvedor para controlar horários específicos em que o BITSLOTH deve operar em um ambiente de vítima”, disseram os pesquisadores. “Este é um recurso que observamos em outras famílias de malware modernas, como o EAGERBEE.”
Um backdoor completo, o BITSLOTH é capaz de executar e executar comandos, carregar e baixar arquivos, realizar enumerações e descobertas e coletar dados confidenciais por meio de keylogging e captura de tela.
Ele também pode definir o modo de comunicação para HTTP ou HTTPS, remover ou reconfigurar persistência, encerrar processos arbitrários, desconectar usuários da máquina, reiniciar ou desligar o sistema e até mesmo atualizar ou excluir a si mesmo do host. Um aspecto definidor do malware é seu uso de BITS para C2.
“Esse meio é atraente para os adversários porque muitas organizações ainda têm dificuldades para monitorar o tráfego de rede BITS e detectar trabalhos BITS incomuns”, acrescentaram os pesquisadores.
