Новый Windows-бэкдор BITSLOTH использует службу BITS для С2-связи

Екатерина Быстрова 02 Августа 2024 - 15:59

...

Новый Windows-бэкдор BITSLOTH использует службу BITS для С2-связи

Исследователи в области кибербезопасности наткнулись на ранее неизвестный Windows-бэкдор, использующий Фоновую интеллектуальную службу передачи (BITS) для получения команд (C2). Вредоносу дали имя BITSLOTH.

Впервые бэкдор попался на глаза специалистам компании Elastic Security Labs 25 июня 2024 года. Тогда его связывали с кибератакой на неназванное госучреждение Южной Америки.

«На момент этой публикации последняя версия бэкдора располагает 35 функциями, включая возможности кейлогера и захвата экрана. Кроме того, у BITSLOTH есть дополнительная функциональность, необходимая для обнаружения, перечисления и выполнения из командной строки», — пишут в отчёте исследователи Сет Гудвин и Дэниел Степаник.

По оценкам Elastic Security Labs, BITSLOTH находится в разработке с декабря 2021 года и используется операторами преимущественно для сбора данных. Пока бэкдор не связали с конкретной кибергруппировкой, однако эксперты утверждают, что его авторы могут говорить на китайском языке.

На связь с Китаем исследователей также натолкнуло использование инструмента RingQ. Последний обычно применяется для шифрования вредоносных программ, чтобы те могли уйти от детектирования.

Ранее в отчёте AhnLab Security Intelligence Center (ASEC) отмечалась связь китайской киберпреступной группы с серверами, распространявшими вредоносы с помощью RingQ.

Сам бэкдор BITSLOTH использует библиотеку «flengine.dll» и метод сторонней загрузки (DLL sideloading), внедряясь в легитимный исполнимый файл популярного секвенсора и DAW — FL Studio.

«В последней версии BITSLOTH получил новый компонент для планирования, позволяющий выбирать отдельные временные промежутки для работы в системе жертвы», — объясняют исследователи.

Бэкдор может выполнять команды, выгружать и скачивать файлы, составлять список файлов, собирать данные с помощью фиксации нажатий клавиш и записи экрана.

Помимо этого, вредоносная программа устанавливает связь с командным центром, используя BITS — фоновая службы служба передачи, которая обычно применяется сисадминами для скачивания файлов или их отправки на веб-серверы.

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Яков Шпунт 26 Января 2026 - 10:52

Ошибки конфигурации программ Домашние пользователи

Российские пользователи не могут обновить встроенное ПО бытовой техники

Российские пользователи «умной» бытовой техники — в основном европейских брендов — всё чаще сталкиваются с серьёзными проблемами при обновлении встроенного программного обеспечения. В ряде случаев такие устройства вообще не могут полноценно работать без подключения к фирменным облачным сервисам и мобильным приложениям, которые в России оказываются недоступны.

О ситуации сообщил телеграм-канал БОРЩ со ссылкой на сообщения пользователей из тематических чатов и социальных сетей.

Причём речь идёт далеко не о бюджетных устройствах. Проблемы затрагивают дорогие модели стиральных и посудомоечных машин, роботы-пылесосы, водогрейные котлы и другую технику с «умными» функциями, управление которой завязано на мобильные приложения.

Среди наиболее частых жалоб — невозможность обновить прошивку или отсутствие фирменных приложений в официальных магазинах Apple и Google. Один из пользователей, владелец посудомоечной машины Bosch, рассказал, что даже установка приложения через APK-файл или российский магазин не решает проблему: зарегистрировать и активировать его из России не удаётся.

Фактически пользователям приходится запускать приложение с подменой IP-адреса на европейский и создавать фиктивный аккаунт жителя другой страны. При этом из-за особенностей работы такого ПО регистрация и авторизация часто проходят не с первого раза.

Проблемы возникают и с техникой российских брендов. Так, владелец «умного» чайника Polaris сумел стабилизировать работу прошивки, вручную указав в настройках роутера российский сервер. При попытке подключиться к зарубежным ресурсам устройство «зависало» и переставало корректно работать.

В некоторых случаях сбои носят спорадический характер. Например, пользователь водогрейного котла Ariston даже обратился с жалобой в Роскомнадзор после того, как оборудование перестало подключаться к облачному серверу. В регуляторе заявили о своей непричастности, однако спустя некоторое время проблемы исчезли сами собой.

«Санкции ударили туда, куда не ожидал никто», — резюмируют авторы канала БОРЩ.

При этом эксперты отмечают, что куда более серьёзную опасность может представлять использование «умных» устройств для сбора данных — в том числе как одна из форм санкционного давления.