新種のWindowsバックドアBITSLOTH、ステルス通信にBITSを悪用
The Hacker News – Aug 02, 2024
これまで文書化されていなかったWindowsバックドア「BITSLOTH」をサイバーセキュリティ研究者が発見した。
このマルウェアはコマンド&コントロール(C2)通信にバックグラウンドインテリジェント転送サービス(BITS)を使用するもので、南米某国の外務省を標的としたサイバー攻撃に関連して2024年6月25日に発見された。BITSLOTHの最新バージョンはキーロギングやスクリーンキャプチャ機能を含む35のハンドラー関数を備えるほか、探索、列挙、コマンドライン実行などを行うためのさまざまな機能を備えているという。なお、同マルウェアを使用する活動群は「REF8747」として追跡されている。
このツールは2021年12月に開発が始まったとみられ、データ収集を目的に使用されていると推測される。その背後に誰が潜んでいるかは現時点で明らかになっていないものの、ソースコード分析により中国語を話す脅威アクターの関与を示すログ機能と文字列が見つかっている。
RingQと呼ばれるオープンソースツールが使われていることも、BITSLOTHと中国の関連を示唆している可能性がある。RingQはマルウェアを暗号化して検知を回避するために使用されており、韓国のセキュリティ企業AhnLab Security Intelligence Center(ASEC)が6月に中国語話者脅威アクターの関与を突き止めた別の攻撃で使われていた。