Nieuwe Windows-backdoor BITSLOTH maakt gebruik van BITS voor heimelijke communicatie

Cybersecurityonderzoekers hebben een nog niet eerder gedocumenteerde Windows-backdoor ontdekt die gebruikmaakt van een ingebouwde functie genaamd Background Intelligent Transfer Service (BITS) als een command-and-control (C2)-mechanisme.

De nieuw geïdentificeerde malware-stam heeft de codenaam BEETJESLUITER door Elastic Security Labs, die de ontdekking op 25 juni 2024 deden in verband met een cyberaanval gericht op een niet nader genoemd ministerie van Buitenlandse Zaken van een Zuid-Amerikaanse regering. De activiteitencluster wordt gevolgd onder de naam REF8747.

“De meest recente iteratie van de backdoor op het moment van deze publicatie heeft 35 handlerfuncties, waaronder keylogging en screen capture-mogelijkheden”, aldus beveiligingsonderzoekers Seth Goodwin en Daniel Stepanic. “Bovendien bevat BITSLOTH veel verschillende functies voor discovery, enumeratie en command-line-uitvoering.”

Er wordt aangenomen dat de tool – in ontwikkeling sinds december 2021 – door de dreigingsactoren wordt gebruikt voor het verzamelen van gegevens. Het is momenteel niet duidelijk wie erachter zit, hoewel een broncodeanalyse logfuncties en strings heeft blootgelegd die suggereren dat de auteurs Chinees zouden kunnen spreken.

Een andere mogelijke link naar China komt van het gebruik van een open-sourcetool genaamd RingQ. RingQ wordt gebruikt om de malware te versleutelen en detectie door beveiligingssoftware te voorkomen, die vervolgens wordt gedecodeerd en direct in het geheugen wordt uitgevoerd.

In juni 2024 onthulde het AhnLab Security Intelligence Center (ASEC) dat kwetsbare webservers worden uitgebuit om web shells te droppen, die vervolgens worden gebruikt om extra payloads te leveren, waaronder een cryptocurrency miner via RingQ. De aanvallen werden toegeschreven aan een Chinees sprekende dreigingsactor.

De aanval is ook opmerkelijk vanwege het gebruik van STOWAWAY om versleuteld C2-verkeer via HTTP te proxyen en een hulpprogramma voor poortdoorsturing genaamd iox. Dit laatste werd eerder al gebruikt door een Chinese cyberspionagegroep met de naam Bronze Starlight (ook bekend als Emperor Dragonfly) bij Cheerscrypt-ransomwareaanvallen.

BITSLOTH, dat de vorm heeft van een DLL-bestand (“flengine.dll”), wordt geladen door middel van DLL-side-loadingtechnieken met behulp van een legitiem uitvoerbaar bestand dat is gekoppeld aan Image-Line en bekend staat als FL Studio (“fl.exe”).

“In de nieuwste versie is een nieuw planningscomponent toegevoegd door de ontwikkelaar om specifieke tijden te beheren waarop BITSLOTH in een slachtofferomgeving moet werken”, aldus de onderzoekers. “Dit is een functie die we hebben waargenomen in andere moderne malwarefamilies zoals EAGERBEE.”

BITSLOTH is een backdoor met alle functies die u nodig hebt en die opdrachten kan uitvoeren, bestanden kan uploaden en downloaden, inventarisaties en detecties kan uitvoeren en gevoelige gegevens kan verzamelen via keylogging en schermopnames.

Het kan ook de communicatiemodus instellen op HTTP of HTTPS, persistentie verwijderen of opnieuw configureren, willekeurige processen beëindigen, gebruikers afmelden bij de machine, het systeem opnieuw opstarten of afsluiten en zichzelf zelfs updaten of verwijderen van de host. Een bepalend aspect van de malware is het gebruik van BITS voor C2.

“Dit medium is aantrekkelijk voor tegenstanders omdat veel organisaties nog steeds moeite hebben met het monitoren van BITS-netwerkverkeer en het detecteren van ongebruikelijke BITS-taken”, voegen de onderzoekers toe.

Thijs Van der Does