Новый Windows-бэкдор BITSLOTH использует службу BITS для С2-связи

Екатерина Быстрова 02 Августа 2024 - 15:59

...

Новый Windows-бэкдор BITSLOTH использует службу BITS для С2-связи

Исследователи в области кибербезопасности наткнулись на ранее неизвестный Windows-бэкдор, использующий Фоновую интеллектуальную службу передачи (BITS) для получения команд (C2). Вредоносу дали имя BITSLOTH.

Впервые бэкдор попался на глаза специалистам компании Elastic Security Labs 25 июня 2024 года. Тогда его связывали с кибератакой на неназванное госучреждение Южной Америки.

«На момент этой публикации последняя версия бэкдора располагает 35 функциями, включая возможности кейлогера и захвата экрана. Кроме того, у BITSLOTH есть дополнительная функциональность, необходимая для обнаружения, перечисления и выполнения из командной строки», — пишут в отчёте исследователи Сет Гудвин и Дэниел Степаник.

По оценкам Elastic Security Labs, BITSLOTH находится в разработке с декабря 2021 года и используется операторами преимущественно для сбора данных. Пока бэкдор не связали с конкретной кибергруппировкой, однако эксперты утверждают, что его авторы могут говорить на китайском языке.

На связь с Китаем исследователей также натолкнуло использование инструмента RingQ. Последний обычно применяется для шифрования вредоносных программ, чтобы те могли уйти от детектирования.

Ранее в отчёте AhnLab Security Intelligence Center (ASEC) отмечалась связь китайской киберпреступной группы с серверами, распространявшими вредоносы с помощью RingQ.

Сам бэкдор BITSLOTH использует библиотеку «flengine.dll» и метод сторонней загрузки (DLL sideloading), внедряясь в легитимный исполнимый файл популярного секвенсора и DAW — FL Studio.

«В последней версии BITSLOTH получил новый компонент для планирования, позволяющий выбирать отдельные временные промежутки для работы в системе жертвы», — объясняют исследователи.

Бэкдор может выполнять команды, выгружать и скачивать файлы, составлять список файлов, собирать данные с помощью фиксации нажатий клавиш и записи экрана.

Помимо этого, вредоносная программа устанавливает связь с командным центром, используя BITS — фоновая службы служба передачи, которая обычно применяется сисадминами для скачивания файлов или их отправки на веб-серверы.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Яков Шпунт 24 Марта 2026 - 16:13

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры

В Госдуме предложили запретить брать плату за VPN

Депутаты Госдумы от партии «Новые люди» во главе с лидером фракции, вице-спикером нижней палаты Владиславом Даванковым предложили запретить провайдерам взимать дополнительную плату за использование VPN. Соответствующее обращение они направили министру цифрового развития, связи и массовых коммуникаций Максуту Шадаеву.

Документ оказался в распоряжении РИА Новости. По мнению депутатов, подобные списания можно расценивать как грубое нарушение прав потребителей.

Ситуацию усугубляет отсутствие прозрачной информации о том, каким образом интернет-трафик классифицируется и тарифицируется. В результате у абонентов возникает обоснованная неопределённость относительно реальных причин дополнительных списаний.

«Представляется целесообразным рассмотреть возможность нормативного закрепления запрета на взимание дополнительной платы исключительно за использование технологий VPN как способа обеспечения конфиденциальности и безопасности соединения, а также установления требования о полной прозрачности критериев классификации трафика», — говорится в обращении депутатов к главе Минцифры.

Судя по всему, эта инициатива стала реакцией на сообщения о том, что некоторые операторы связи, вероятно из-за некорректных настроек оборудования, начали тарифицировать VPN-трафик так же, как трафик пиринговых сетей. Загрузка файлов через такие сети действительно может оплачиваться по повышенным тарифам, особенно у пользователей мобильного интернета.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!