**BITSLOTH: Il Malware Invisibile che Minaccia i Governi Mondiali**

News
Visite: 1259

I ricercatori di sicurezza informatica hanno scoperto un nuovo backdoor per Windows chiamato BITSLOTH, che sfrutta una funzione integrata nota come Background Intelligent Transfer Service (BITS) come meccanismo di comando e controllo (C2). Identificato da Elastic Security Labs il 25 giugno 2024, questo malware è stato usato in un attacco cibernetico mirato al Ministero degli Esteri di un governo sudamericano. Questa attività è monitorata con il nome REF8747.

Il backdoor BITSLOTH, in sviluppo dal dicembre 2021, ha attualmente 35 funzioni di gestione, tra cui capacità di keylogging e cattura dello schermo. Inoltre, BITSLOTH presenta diverse funzionalità per la scoperta, enumerazione e l'esecuzione di comandi da linea. Sebbene l'origine degli autori non sia chiara, l'analisi del codice sorgente ha rivelato funzioni di log e stringhe che suggeriscono che gli autori possano essere di lingua cinese.

Un ulteriore indizio che collega BITSLOTH alla Cina è l'uso di uno strumento open-source chiamato RingQ. Questo strumento è usato per criptare il malware e prevenire la sua rilevazione da parte del software di sicurezza, per poi essere decriptato ed eseguito direttamente in memoria.

Nel giugno 2024, l'AhnLab Security Intelligence Center (ASEC) ha rivelato che server web vulnerabili sono stati sfruttati per installare web shell, poi utilizzate per consegnare ulteriori payload, inclusi miner di criptovalute tramite RingQ. Gli attacchi sono stati attribuiti a un attore di minacce di lingua cinese. L'attacco è anche notevole per l'uso di STOWAWAY per proxy C2 criptato su HTTP e un'utilità di port forwarding chiamata iox, precedentemente sfruttata da un gruppo di spionaggio cibernetico cinese noto come Bronze Starlight (alias Emperor Dragonfly) in attacchi di ransomware Cheerscrypt.

BITSLOTH, che si presenta sotto forma di un file DLL ("flengine.dll"), viene caricato tramite tecniche di DLL side-loading utilizzando un eseguibile legittimo associato a Image-Line noto come FL Studio ("fl.exe"). Nell'ultima versione, il malware include un nuovo componente di schedulazione per controllare i momenti specifici in cui BITSLOTH deve operare nell'ambiente della vittima, una funzionalità osservata anche in altre famiglie di malware moderni come EAGERBEE.

BITSLOTH è un backdoor completamente funzionale, capace di eseguire comandi, caricare e scaricare file, eseguire l'enumerazione e la scoperta, e raccogliere dati sensibili tramite keylogging e cattura dello schermo. Può anche impostare la modalità di comunicazione su HTTP o HTTPS, rimuovere o riconfigurare la persistenza, terminare processi arbitrari, disconnettere gli utenti dalla macchina, riavviare o spegnere il sistema, e persino aggiornarsi o eliminarsi dall'host. Un aspetto distintivo del malware è l'uso di BITS per il C2, un metodo che attira gli avversari poiché molte organizzazioni ancora faticano a monitorare il traffico di rete BITS e a rilevare lavori BITS insoliti.

Pin It
, , , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.