BITSLOTH – nowy backdoor w Windows rozwijany prawdopodobnie od 2021 roku i wykorzystywany w komunikacji C2. Co o nim wiemy?

O atakach z wykorzystaniem BITS pisaliśmy całkiem sporo na Kapitanie. Polecamy lekturę tutaj.

Nowo poznany szczep złośliwego oprogramowania został nazwany BITSLOTH przez Elastic Security Labs, które dokonało odkrycia 25 czerwca 2024 roku w związku z cyberatakiem wymierzonym w bliżej nieokreślone Ministerstwo Spraw Zagranicznych w Ameryce Południowej. Związana z tym aktywność jest monitorowana pod nazwą REF8747.

Informacje o backdoorze

Jak dotąd BITSLOTH nie został publicznie udokumentowany, co sugeruje, że jest to stosunkowo nieznane zagrożenie. Mimo że nie jest jasne, kto stoi za jego stworzeniem, analiza różnych wersji przesyłanych do VirusTotal wskazuje, że jest on rozwijany od kilku lat. Analiza kodu źródłowego sugeruje, że autorzy mogą być chińskojęzyczni, ze względu na znalezione funkcje rejestrowania i specyficzne ciągi znaków.

Co robi BITSLOTH?

Do głównych funkcjonalności BITSLOTH należą:

• uruchamianie i wykonywanie poleceń,
• przesyłanie i pobieranie plików,
• wykonywanie rekonesansu środowiska,
• zbieranie poufnych danych za pomocą keyloggera i przechwytywania ekranu.

Łącznie zidentyfikowano aż 35 funkcji. Ponadto BITSLOTH zawiera szereg narzędzi do wykrywania środowiska systemowego, enumeracji i wykonywania poleceń wiersza poleceń. Na podstawie tych zaawansowanych możliwości oceniamy, że BITSLOTH jest zaprojektowany głównie do zbierania danych od zainfekowanych użytkowników.

Może również ustawić tryb komunikacji na HTTP lub HTTPS, usuwać lub rekonfigurować trwałość, zakończyć dowolne procesy, wylogować użytkowników, ponownie uruchomić lub wyłączyć system, a nawet zaktualizować lub usunąć się z hosta. Kluczowym aspektem złośliwego oprogramowania jest wykorzystanie BITS do komunikacji C2.

„To medium jest atrakcyjne dla przeciwników, ponieważ wiele organizacji nadal ma trudności z monitorowaniem ruchu sieciowego BITS i wykrywaniem nietypowych zadań BITS” — twierdzą badacze.

Dodają, że narzędzie jest rozwijane od grudnia 2021 roku i wykorzystywane przez podmioty stanowiące zagrożenie gromadzenia danych.

Innym wskazaniem na chińskie pochodzenie jest użycie narzędzia open source o nazwie RingQ. RingQ służy do szyfrowania złośliwego oprogramowania, co utrudnia jego wykrycie przez programy zabezpieczające, a następnie odszyfrowuje je i wykonuje bezpośrednio w pamięci.

Jak komunikuje się BITSLOTH?

BITSLOTH opiera się na tradycyjnej architekturze klient/serwer, gdzie programista nazywa klienta komponentem Slaver, a serwer poleceń i kontroli (C2) komponentem Master. Adres IP i port serwera C2 są zakodowane w każdej próbce jako ciąg ładowany z przodu (rrrr_url). Ciąg ten działa jako klucz do identyfikacji konfiguracji C2 w trakcie działania w pamięci i jest używany podczas aktualizacji serwera C2.

BITSLOTH nie stosuje żadnego zaciemniania przepływu sterowania ani żadnego rodzaju szyfrowania ciągów znaków.

W czerwcu 2024 roku AhnLab Security Intelligence Center (ASEC) ujawniło, że podatne serwery internetowe są wykorzystywane do umieszczania powłok internetowych, które następnie służą do dostarczania dodatkowych złośliwych ładunków, w tym koparek kryptowalut, za pomocą narzędzia RingQ. Ataki te zostały przypisane chińskojęzycznemu podmiotowi stanowiącemu zagrożenie.

Atak wyróżnia się wykorzystaniem narzędzia STOWAWAY do przekierowywania zaszyfrowanego ruchu C2 przez HTTP oraz narzędzia do przekierowywania portów o nazwie iox, które wcześniej było używane przez chińską grupę cybernetycznego szpiegostwa, Bronze Starlight (znaną również jako Emperor Dragonfly), w atakach ransomware Cheerscrypt.

BITSLOTH, występujący w postaci pliku DLL („flengine.dll”), jest ładowany za pomocą technik bocznego ładowania DLL, wykorzystując legalny plik wykonywalny powiązany z Image-Line o nazwie FL Studio („fl.exe”).

„W najnowszej wersji programista dodał nowy komponent harmonogramowania, aby kontrolować określone czasy, w których BITSLOTH powinien działać w środowisku ofiary” – informują badacze. „To funkcja, którą zaobserwowaliśmy w innych nowoczesnych rodzinach złośliwego oprogramowania, takich jak EAGERBEE”.

Jak się chronić?

Użycie BITS przez złośliwe oprogramowanie takie jak BITSLOTH jest szczególnie niepokojące ze względu na zaufany charakter tej usługi. Organizacje często mają trudności z monitorowaniem i rozróżnianiem legalnego ruchu BITS od złośliwej aktywności. Ta metoda eksploatacji pozwala atakującym zachować niski profil i pozostawać w sieciach przez dłuższy czas.

Aby złagodzić takie zagrożenia, zespoły ds. bezpieczeństwa powinny wdrożyć następujące środki:

• Zwiększyć widoczność ruchu sieciowego BITS w celu wykrywania anomalii.
• Wykorzystać zaawansowane rozwiązania wykrywania i reagowania na punkty końcowe (EDR) w celu identyfikowania i blokowania podejrzanych zachowań związanych z zadaniami BITS.
• Przeprowadzać częste audyty bezpieczeństwa systemów w celu identyfikowania i naprawiania nieautoryzowanych zadań BITS.

Wdrażać reguły YARA dostarczane przez Elastic Security Labs w celu wykrywania BITSLOTH i podobnego złośliwego oprogramowania.

Elastic Security Labs opublikowało sygnatury YARA i inne wskaźniki naruszenia w swoim raporcie, aby pomóc w wykrywaniu BITSLOTH.

Polecamy zapoznać się też z naszym artykułem o monitorowaniu BITS – tutaj.