Elasticsearchは8月1日(米国時間)、「BITS and Bytes: Analyzing BITSLOTH, a newly identified backdoor — Elastic Security Labs」において、コマンド&コントロール(C2: Command and Control)との通信にWindowsのバックグラウンドインテリジェント転送サービス(BITS: Background Intelligent Transfer Service)を使用する新しいバックドア「BITSLOTH」を発見したと報じた。

  • BITS and Bytes: Analyzing BITSLOTH、a newly identified backdoor — Elastic Security Labs

    BITS and Bytes: Analyzing BITSLOTH, a newly identified backdoor — Elastic Security Labs

バックドア「BITSLOTH」の正体

Elasticsearchは6月25日(米国時間)、「REF8747」として識別される攻撃活動の調査中、南米地域の外務省への不正アクセスを目的にバックドア「BITSLOTH」がサーバに設置されていることを発見。具体的な初期感染経路は不明だが、感染したエンドポイントの一つに軽量telnetツールと評価される「PsExec」の使用が確認されたという。他にも、GitHubから入手可能な次のツールが攻撃に使用されたことがわかっている。

  • RingQ:マルウェアの難読化ツール
  • iox:ポートフォワードおよびプロキシツール
  • Stowaway:マルチホッププロキシツール
  • GodPotato:特権昇格ツール
  • noPac:ドメイン特権昇格エクスプロイト
  • mimikatz:Windowsのクレデンシャルダンピングツール
  • PPLFault:PPL(Protected Process Light)の脆弱性エクスプロイト
  • Certify:Active Directory証明書サービスの攻撃ツール

Elasticsearchが発見したBITSLOTHのサンプルからは、簡体字中国語のワイド文字列が発見されている。この文字列を翻訳すると「すでに実行しているプログラムがある。再実行しないで」となることから、開発時のデバッグメモを削除し忘れたのではないかと推測されている。また、プログラムのロケールに「chs(簡体字中国語)」を指定していることから、脅威アクターは中国語を母国語とする人物またはグループとみられている。

Elasticsearchの分析によると、BITSLOTHには次の機能があるとされる。

  • 実行中プロセスおよびサービスの一覧窃取
  • システム情報の窃取
  • 永続性の確保
  • シェルの起動およびコマンドの実行
  • ファイル一覧の窃取
  • ファイル操作
  • ファイルのアップロードとダウンロード
  • キーロガーおよびスクリーンキャプチャー
  • バックグラウンドインテリジェント転送サービスを使用した通信の隠蔽

緩和策

REF8747として識別されるサイバー攻撃は初期の感染経路が明らかになっていない。そのため、発見されたマルウェアやツールを検出して防御することが推奨される。ElasticsearchはBITSLOTHおよび攻撃に使用された各種ツールを検出するためのYARAルールを公開しており、必要に応じて活用することが望まれている。