网络安全研究人员发现了一个以前未记录的 Windows 后门，该后门利用称为后台智能传输服务 （BITS） 的内置功能作为命令和控制 （C2） 机制。

Elastic Security Labs 将新发现的恶意软件菌株代号为 BITSLOTH，该实验室于 2024 年 6 月 25 日发现该恶意软件株，与针对南美国家政府未指明外交部的网络攻击有关。正在以名字对象 REF8747 跟踪活动集群。

“在本文发布时，后门的最新版本具有35个处理程序功能，包括键盘记录和屏幕捕获功能，”安全研究人员Seth Goodwin和Daniel Stepanic说。“此外，BITSLOTH 还包含许多不同的功能，用于发现、枚举和命令行执行。”

据评估，该工具自 2021 年 12 月以来一直在开发中，正被威胁行为者用于数据收集目的。目前尚不清楚谁是幕后黑手，尽管源代码分析发现了日志函数和字符串，表明作者可能是说中文的人。

与中国的另一个潜在联系来自一种名为RingQ的开源工具的使用。RingQ 用于加密恶意软件并防止安全软件检测到，然后直接在内存中解密并执行。

2024 年 6 月，AhnLab 安全情报中心 （ASEC） 透露，易受攻击的 Web 服务器正在被利用来放置 Web Shell，然后利用这些 Shell 来提供额外的有效载荷，包括通过 RingQ 的加密货币矿工。这些攻击被归咎于一名讲中文的威胁行为者。

这次攻击还值得注意的是，它使用 STOWAWAY 通过 HTTP 和一个名为 iox 的端口转发实用程序代理加密的 C2 流量，后者之前曾被一个名为 Bronze Starlight（又名 Emperor Dragonfly）的中国网络间谍组织利用，用于 Cheerscrypt 勒索软件攻击。

BITSLOTH 采用 DLL 文件（“flengine.dll”）的形式，通过使用与 Image-Line 关联的合法可执行文件（称为 FL Studio（fl.exe））通过 DLL 侧加载技术进行加载。

研究人员说：“在最新版本中，开发人员添加了一个新的调度组件，以控制BITSLOTH在受害者环境中运行的特定时间。“这是我们在其他现代恶意软件家族（如EAGERBEE）中观察到的特征。

作为一个功能齐全的后门，BITSLOTH能够运行和执行命令，上传和下载文件，执行枚举和发现，并通过键盘记录和屏幕捕获收集敏感数据。

它还可以将通信模式设置为HTTP或HTTPS，删除或重新配置持久性，终止任意进程，从计算机中注销用户，重新启动或关闭系统，甚至从主机中更新或删除自身。该恶意软件的一个定义方面是它使用 Bits 进行 C2。

研究人员补充说：“这种媒介对对手很有吸引力，因为许多组织仍在努力监控BITS网络流量并检测异常的BITS工作。