Windows BITS Servisini Kullanarak Güney Amerika Hükümetine Sızdılar
Yeni keşfedilen Windows backdoor olan BITSLOTH, BITS’i komut ve kontrol sunucularıyla iletişim kurmak için kullanıyor. Bu backdoor Güney Amerika’daki bir hükümet sistemine sızdığı gözlemlendi. BITSLOTH zararlısı, tuş kaydetme ve ekran görüntüsü alma işlevlerine sahip.
BITS Nedir?
BITS, Windows 10 ve 11’de bulunan bir servis. Windows, BITS’i yerel bir sisteme güncellemeler indirmek için kullanabilir ve bu güncellemeleri ağ üzerinden diğer makinelere dağıtabilir.
BITS, Windows Update, Microsoft Update, Windows Server Update Services ve Systems Management Server gibi yazılım güncellemelerini dağıtmak için kullanılıyor. Ayrıca, Microsoft Security Essentials antivirüs programında imza dosyalarını yüklemek için de kullanılıyor. BITS, birçok programlama dili aracılığıyla erişime olanak tanıyan bir COM arayüzü üzerinden kullanılabiliyor.
BITSLOTH Backdoor
Elastic Security Labs, BITS’i komut ve kontrol sunucularıyla iletişim kurmak için kullanan yeni bir Windows backdoor keşfetti.
Elastic Security Lab güvenlik ekibi, 25 Haziran 2024’te Güney Amerika’daki bir hükümetin dışişleri bakanlığının hacklenmiş sistemini analiz ederken BITSLOTH backdoor etkinliğini gözlemledi. Analiz sırasında, ilk enfeksiyonun PSEXEC’nin bir endpoint çalıştırılmasıyla gerçekleştiği ortaya çıktı. Saldırganlar operasyonlarının çoğunda public araçlar kullanmış ancak aynı zamanda Windows BITS hizmetini iletişim için kullanan BITSLOTH zararlısını da backdoor olarak kurmuşlardı.