BITSLOTH - это недавно обнаруженный бэкдор для Windows, который использует службу Background Intelligent Transfer Service (BITS) для управления. Этот вредоносный программный код обнаружен в LATAM-регионе и разрабатывается уже несколько лет. Бэкдор содержит 35 функций-обработчиков, включая кейлоггинг и захват экрана, а также функции для обнаружения и выполнения команд. Предполагается, что BITSLOTH предназначен для сбора данных о жертвах.
BITSLOTH Backdoor
Бэкдор был обнаружен в результате вторжения в министерство иностранных дел южноамериканского правительства, и его использовали вместе с другими инструментами, такими как RINGQ, IOX и STOWAWAY. RINGQ использовался для загрузки IOX, а STOWAWAY - для проксирования зашифрованного трафика.
BITSLOTH был найден в виде DLL-файла в каталоге ProgramData после боковой загрузки, использующей подписанную версию программы FL Studio. Весьма интересно, что разработчик вредоносного программного обеспечения использовал примечательную терминологию, называя BITSLOTH компонентом Slaver.
Образцы BITSLOTH, найденные в ходе анализа, позволили установить, что в строках программного кода имеются отсылки к китайскому языку. Это может указывать на национальность или языковую принадлежность разработчиков. Также в коде обнаружены строки, используемые для протоколирования и отладки. В целом, BITSLOTH - это сложный и многофункциональный бэкдор, предназначенный для получения информации о целях и выполнения различных команд.
Indicators of Compromise
IPv4
- 15.235.132.67
- 216.238.121.132
- 45.116.13.178
SHA256
- 0944b17a4330e1c97600f62717d6bae7e4a4260604043f2390a14c8d76ef1507
- 0f9c0d9b77678d7360e492e00a7fa00af9b78331dc926b0747b07299b4e64afd
- 4a4356faad620bf12ff53bcfac62e12eb67783bd22e66bf00a19a4c404bf45df
- 4fb6dd11e723209d12b2d503a9fcf94d8fed6084aceca390ac0b7e7da1874f50
- dfb76bcf5a3e29225559ebbdae8bdd24f69262492eca2f99f7a9525628006d88
