Säkerhet forskare har hittat en annan instans av en malware stam missbruka Windows Background Intelligent Transfer Service (BITS).
Malware verkar vara ett verk av en statligt sponsrad cyber-spionage grupp som forskare har varit att följa i år under namnet Stealth Falcon.
Den första och enda rapport om detta dataintrång koncernen har publicerats 2016 Medborgare Lab, en icke-vinstdrivande organisation med fokus på säkerhet och mänskliga rättigheter.
Enligt Citizen labbrapport, Stealth Falk-gruppen har varit i drift sedan 2012 och sågs inriktning Förenade Arabemiraten (UAE) dissidenter. Tidigare verktyg ingår en mycket smygande bakdörr skrivet i PowerShell.
Nytt skadeprogram som använder BITAR som C&C kommunikationskanal
Men i en rapport som publiceras idag, säkerhet forskare från slovakiska it-säkerhetsföretaget ESET sa att de hittat ett nytt verktyg, även stealthier än den första.
Dess stealth egenskaper kommer från det faktum att skadlig kod använder Windows-BITAR system för att ta kontakt och prata med sina kommando-och-kontroll (C&C) server.
Windows BITAR är standard system som Microsoft skickar Windows-uppdateringar till användare över hela världen.
BITS-tjänsten fungerar genom att detektera när användaren inte använder sitt nätverk för anslutning och använda pauserna för att ladda ner Windows-uppdateringar. Andra program kan också knacka på i BITAR system för att hämta sina egna uppdateringar. Till exempel Mozilla arbetar för närvarande med att anpassa Firefox uppdatera systemet till Windows BITAR.
ESET heter den stam de fann Win32/StealthFalcon. De sade att detta malware fungerar som en grundläggande bakdörr som gör att Stealth Falcon aktörer för att ladda ner och köra ytterligare kod på infekterade värdar, eller att exfiltrate data till fjärrservrar.
Forskargruppen sade Win32/StealthFalcon bakdörr inte kommunicera med sin fjärrserver via klassiska HTTP-eller HTTPS-förfrågningar, men gömde C&C-trafik inne i BITAR. Forskare tror att detta skett för att kringgå brandväggar, som företag tenderar att ignorera BITAR trafik, att veta att det sannolikt innehåller program uppdateringar, snarare än något skadligt.
Självklart Stealth Falcon anslutningar
ESET forskare sade att ansluta denna nya bakdörr till resten av Stealth Falcon koncernens verksamhet var ganska trivialt.
Till att börja med, Win32/StealthFalcon bakdörr — som verkar ha varit skapat tillbaka 2015 — används för samma C&C-server domäner som Powershell bakdörr som beskrivs i 2016 Medborgare labbrapport.
“Båda bakdörrar visa betydande likheter i kod – även om de är skrivna i olika språk, den underliggande logiken är bevarade. Både använda hårdkodad identifierare (troligen kampanj-ID/mål-ID),” ESET forskargruppen lagt till.
“I båda fallen, alla nätverk meddelande från den infekterade värden inleds med dessa kännetecken och krypteras med RC4 med en hårdkodad nyckel.”
Länkar mellan Stealth Falcon och Projekt Raven
ESET inte avslöja förhållanden som de upptäckte nya Win32/StealthFalcon bakdörr eller de mål som mot bakdörren var utplacerade.
Men ESET belyst några nya upptäckter när det gäller identitet Stealth Falcon aktörer.
I deras rapport, ESET forskare hänvisas Amnesty International Senior Forskare Claudio Guarnieri, som hävdade att det Stealth Falcon hacker grupp som verkar vara en privat it-säkerhet entreprenören som heter DarkMater, som beskrivs i en januari 2019 Reuters.
Reuters artikel beskrivs Projektet Korpen, ett initiativ som påstås anställer före detta NSA-agenter som var med och hjälpte UAE regeringen spår och hacka oliktänkande — syftar till samma typer av mål som Stealth Falcon.
DarkMatter bolaget vid mitten av Reuters rapport, förnekade alla anklagelser.
Inte första cyber-spionage grupp (ab)använda BITAR
Stealth Falcon är inte den första cyber-spionage grupp som har observerats att missbruka BITAR systemet att fungera.
Andra fall kan vara att två Kinesiska staten sponsrade hacker grops känd som TEMP.Periskop och Tropic Trooper (KeyBoy).
Icke-spionage malware stammar har också sett att missbruka BITAR under de senaste åren. Skojare har Zlob.Q trojan, UBoat remote access-trojaner, och Rustock bakdörr och Linkoptimizer trojan.
Även om antivirus upptäckt av BITAR missbruk har förbättrats under de senaste åren, malware aktörer kommer sannolikt att se fördelarna med att missbruka BITAR för framtida verksamhet. Dess primära funktion är BITAR förmåga att pausa någon skadlig trafik om användaren använder en arbetsstation som är verksamma endast i stilleståndstider. Detta minskar risken för mänskliga operatören upptäckt, även det skadliga programmet kan fortfarande upptäckas av säkra lösningar när det ändrar lokala register och andra BITAR inställningar eller schemalagda aktiviteter.
Säkerhet
Aktivera DNS-över-HTTPS (DoH) i Google Chrome
Vi samla in sociala media profiler från invandrare, asylsökande och flyktingar
600,000 GPS-trackers vänster exponeras på internet med standardlösenordet ‘123456’
Hur AI används för ansiktsigenkänning i övervakningskameror (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
Hur att förhindra ett företagskonto Övertagande (TechRepublic)
Relaterade Ämnen:
Windows
Säkerhet-TV
Hantering Av Data
CXO
Datacenter