新的恶意软件使用Windows BITS服务来秘密过滤数据

数据安全泄露事件-网络安全研究人员发现了一种新的计算机病毒，该病毒与“猎鹰”国家资助的网络间谍组织有关，该组织滥用微软Windows操作系统的一个内置组件，将窃取的数据偷偷地外泄到攻击者控制的服务器。

Active since 2012, 是一个复杂的黑客组织，以中东的间谍、间谍和持不同政见者为目标，主要是在阿拉伯联合酋长国（UAE）。

Win32/StealthFalcon，以黑客组织的名字命名，该恶意软件使用Windows后台智能传输服务（BITS）与远程命令和控制（C&C）服务器进行通信，并将收集到的数据发送到服务器。


BITS是Windows中的一种通信协议，它利用未使用的网络带宽来促进前台或后台机器之间的文件异步、优先和限制传输，而不会影响网络体验。

BITS通常由软件更新程序使用，包括从Microsoft服务器或对等机下载文件，以便在Windows 10、Messenger和其他设计用于后台操作的应用程序上安装更新。

据网络安全公司ESET的安全研究人员称，由于基于主机的防火墙更可能允许BITS任务，并且该功能会自动调整数据传输速率，因此它允许恶意软件在后台秘密运行，而不会发出任何危险信号。

研究人员在今天发布的一份报告中说：“与通过API函数进行的传统通信相比，BITS机制是通过COM接口公开的，因此安全产品更难检测到。”。

由于网络中断、用户注销或系统重新启动等原因中断传输后，传输将自动恢复

除此之外，该恶意软件不是以明文形式过滤收集的数据，而是先创建一个加密副本，然后将副本上传到C&amp；C服务器通过BITS协议。


成功过滤被盗数据后，恶意软件会在使用随机数据重写日志和收集的文件后自动删除所有日志和文件，以防止对删除的数据进行取证分析和恢复。

正如报告中所解释的，Win32/StealthFalcon backdoor不仅设计用于从受损系统窃取数据，还可被攻击者用来进一步部署更多恶意工具，并通过C&amp；C服务器。

研究人员说：“Win32/StealthFalcon后门似乎创建于2015年，攻击者可以远程控制受损的计算机。我们在阿联酋、沙特阿拉伯、泰国和荷兰看到了少量目标；在后一种情况下，目标是一个中东国家的外交使团。”。