Windowsの通信を悪用する新しいバックドア「BITSLOTH」発見、中国関与か
マイナビニュース / 2024年8月5日 9時9分
Elasticsearchは8月1日(米国時間)、「BITS and Bytes: Analyzing BITSLOTH, a newly identified backdoor — Elastic Security Labs」において、コマンド&コントロール(C2: Command and Control)との通信にWindowsのバックグラウンドインテリジェント転送サービス(BITS: Background Intelligent Transfer Service)を使用する新しいバックドア「BITSLOTH」を発見したと報じた。
○バックドア「BITSLOTH」の正体
Elasticsearchは6月25日(米国時間)、「REF8747」として識別される攻撃活動の調査中、南米地域の外務省への不正アクセスを目的にバックドア「BITSLOTH」がサーバに設置されていることを発見。具体的な初期感染経路は不明だが、感染したエンドポイントの一つに軽量telnetツールと評価される「PsExec」の使用が確認されたという。他にも、GitHubから入手可能な次のツールが攻撃に使用されたことがわかっている。
RingQ:マルウェアの難読化ツール
iox:ポートフォワードおよびプロキシツール
Stowaway:マルチホッププロキシツール
GodPotato:特権昇格ツール
noPac:ドメイン特権昇格エクスプロイト
mimikatz:Windowsのクレデンシャルダンピングツール
PPLFault:PPL(Protected Process Light)の脆弱性エクスプロイト
Certify:Active Directory証明書サービスの攻撃ツール
Elasticsearchが発見したBITSLOTHのサンプルからは、簡体字中国語のワイド文字列が発見されている。この文字列を翻訳すると「すでに実行しているプログラムがある。再実行しないで」となることから、開発時のデバッグメモを削除し忘れたのではないかと推測されている。また、プログラムのロケールに「chs(簡体字中国語)」を指定していることから、脅威アクターは中国語を母国語とする人物またはグループとみられている。
Elasticsearchの分析によると、BITSLOTHには次の機能があるとされる。
実行中プロセスおよびサービスの一覧窃取
システム情報の窃取
永続性の確保
シェルの起動およびコマンドの実行
ファイル一覧の窃取
ファイル操作
ファイルのアップロードとダウンロード
キーロガーおよびスクリーンキャプチャー
バックグラウンドインテリジェント転送サービスを使用した通信の隠蔽
○緩和策
REF8747として識別されるサイバー攻撃は初期の感染経路が明らかになっていない。そのため、発見されたマルウェアやツールを検出して防御することが推奨される。ElasticsearchはBITSLOTHおよび攻撃に使用された各種ツールを検出するためのYARAルールを公開しており、必要に応じて活用することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
暗号資産を盗むPythonパッケージ発見、セキュリティソフトで検出できず注意
マイナビニュース / 2024年8月5日 17時59分
-
中国のサイバー攻撃グループ、Macを狙うマルウェアアップデート
マイナビニュース / 2024年7月25日 12時46分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 LockBit3の衰退によって、活発なランサムウェアグループ「RansomHub」が首位に
PR TIMES / 2024年7月19日 11時10分
-
偽のビデオ会議アプリでMacユーザー狙う、北朝鮮の脅威者に警戒を
マイナビニュース / 2024年7月18日 16時56分
-
WindowsのゲームやAIソフト偽る広告に注意、ブラウザから認証情報窃取の恐れ
マイナビニュース / 2024年7月18日 8時20分
ランキング
-
1TikTok動画も一因か、欧米でスマート耳かき人気&市場拡大持続|医学界の警告届かず
Techable / 2024年8月6日 13時0分
-
2「なんでうちにはまともな犬がいないの?」 飼い主も思わず嘆く“オッサンすぎる愛犬たち”に17万いいね「働け!って言いたくなる」
ねとらぼ / 2024年8月6日 8時0分
-
3au/UQ mobile、請求書関連の手数料を10月から順次値上げ
マイナビニュース / 2024年8月5日 16時5分
-
4生成AIやLLMにより高度化するフィッシング、どう対抗するか 第2回 LLMを悪用したフィッシングメールの実例と被害
マイナビニュース / 2024年8月6日 10時46分
-
5KADOKAWAサイバー攻撃、流出個人情報は25万人分 ニコニコユーザーは無事 端緒は従業員アカウントの漏えい
ITmedia NEWS / 2024年8月5日 17時28分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)