[백도어] 새로운 Windows 백도어 발견

1. New Windows Backdoor BITSLOTH Exploits BITS for Stealthy Communication

https://thehackernews.com/2024/08/new-windows-backdoor-bitsloth-exploits.html

New Windows Backdoor BITSLOTH Exploits BITS for Stealthy Communication

 

 

[요약]

1. 사이버보안 연구원들이 이전에 문서화되지 않은 Windows 백도어를 발견했다. 이 백도어는 BITS(Background Intelligent Transfer Service)를 사용하는 맬웨어 변종 BITSLOTH다.

2. 남미 외교부를 대상으로 한 사이버 공격과 연계된 BITSLOTH는 키로깅, 화면 캡처 등 다양한 악성 기능을 수행할 수 있다.

3. 현재 누가 그 배후에 있는지는 불분명하지만, 소스 코드 분석 결과 작성자가 중국어 화자일 수 있다는 것을 시사하는 로깅 기능과 문자열이 발견되었다.

4. 이 악성 코드는 DLL 사이드 로딩 및 오픈 소스 도구를 사용하여 탐지를 회피한다. 또, HTTP / HTTPS를 통해 통신하고 지속성을 관리하며 자세한 데이터 수집을 수행한다.

5. 이 맬웨어는 C2에 BITS를 사용한다.

6. 연구원들은 BITS 네트워크 트랙픽을 모니터링하고 비정상적인 작업을 감지하는 데 어려움을 겪고 있다.

 

---

 

🤔 이에 대한 나의 생각

BITSLOTH가 중요 기관을 공격했다는 점에서 그 위협의 심각성을 인지할 수 있었다.

또, *DDL 사이드 로딩(정상적인 응용 프로그램을 악용하여 악성 DLL 파일을 로드하도록 하는 기법)과 오픈 소스 도구를 사용하여 탐지를 피하는 점에서 공격의 고도화를 느낄 수 있었고, 보안 시스템의 개선이 필요하다고 생각했다.

 

공격자가 중국어를 사용하는 것으로 추정된 점에서 특정 국가나 해커들이 연관되어 있을 수도 있겠다는 생각이 든다.

이 가능성을 고려하여 연구할 필요가 있어 보인다.