TTL OSINT

Обнаружен новый бэкдор BIT SLOTH, использующий БИТЫ для связи C2

Компания Elastic Security Labs обнаружила ранее недокументированный бэкдор для Windows под названием BIT SLOTh, который разрабатывался в течение нескольких лет и используется злоумышленниками для передачи команд и контроля. Вредоносная программа, обнаруженная во время проникновения в Министерство иностранных дел южноамериканского правительства, использует фоновую службу интеллектуальной передачи данных (BITS) для своих тайных операций. BIT SLOTh обладает широкими возможностями, включая ведение кейлогга, захват экрана и сбор данных из зараженных систем. Он использует жестко запрограммированный мьютекс, гарантирующий запуск только одного экземпляра, и использует традиционную архитектуру клиент-сервер для взаимодействия. Разработчики вредоносного ПО, скорее всего, являются носителями китайского языка, о чем свидетельствуют строки в коде. Использование BITSLOTh для связи C2 усложняет мониторинг организаций, что делает его привлекательной мишенью для злоумышленников. Вредоносная программа отменяет существующие задания BITS и создает новые с кажущимися безобидными названиями, чтобы избежать обнаружения. Правила обнаружения и события предотвращения поведения, связанные с BITSLOTh, включают сохранение данных с помощью командных строк уведомления о задании BITS, доступ к службе подсистемы локальных служб безопасности (LSASS), внедрение шеллкода и подозрительные родительско-дочерние процессы. Исследователи создали правила YARA, которые помогают обнаруживать этот сложный бэкдор.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT для обеспечения более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://securitybrief.asia/story/new-bitsloth-backdoor-uncovered-leverages-bits-for-c2-comms

Примеры признаков компромисса:

• 216.238.121.132
• 45.116.13.178

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал