Firma zajmująca się cyberbezpieczeństwem QiAnXin XLab zidentyfikowany nowy backdoor PHP o nazwie Glutton, który został wykorzystany w ukierunkowanych cyberatakach w wielu krajach, w tym w Chinach, Stanach Zjednoczonych, Kambodży, Pakistanie i Republice Południowej Afryki. Szkodnik ten, powiązany umiarkowanie ze sponsorowaną przez państwo chińską grupą Winnti (znaną również jako APT41), przyciągnął uwagę ze względu na swoje unikalne podejście do atakowania samych cyberprzestępców.
QiAnXin XLab odkrywa backdoora Glutton wykorzystywanego w cyberatakach
Glutton, wykryty pod koniec kwietnia 2024 r., ale prawdopodobnie wdrożony już w grudniu 2023 r., został zaprojektowany w celu gromadzenia poufnych informacji o systemie i wykonywania złośliwego kodu w popularnych frameworkach PHP, takich jak Laravel, ThinkPHP i Yii. Backdoor zawiera komponent ELF i został scharakteryzowany jako wykazujący „prawie całkowite podobieństwo” do znanego narzędzia Winnti PWNLNX. Badacze zauważyli jednak „brak technik ukrywania się” typowych dla kampanii Winnti, co sugeruje, że szkodliwe oprogramowanie może nadal być w fazie rozwoju.
Szkodnik Glutton działa poprzez różne moduły, przy czym moduł „task_loader” odgrywa kluczową rolę, oceniając środowisko wykonawcze. Główne funkcje obsługiwane przez backdoora obejmują wstrzykiwanie kodu, tworzenie trwałości i komunikację z serwerami dowodzenia i kontroli (C2) za pośrednictwem niezabezpieczonego protokołu HTTP.
Co to jest żarłok?
Glutton to modułowa platforma złośliwego oprogramowania, która wykonuje swoje operacje bez pozostawiania tradycyjnych dowodów w postaci plików, osiągając ukrycie poprzez wykonywanie instrukcji w procesach PHP lub PHP-FPM. Takie podejście pozwala mu dynamicznie upuszczać ładunki, unikając mechanizmów wykrywania powszechnie stosowanych w narzędziach cyberbezpieczeństwa. Struktura zawiera komponenty takie jak „init_task”, który instaluje backdoora, oraz „client_loader”, który wprowadza ulepszone protokoły sieciowe w celu zwiększenia możliwości wdrażania.
Zestaw poleceń Gluttona jest obszerny i pozwala na szereg operacji, takich jak manipulowanie plikami, wykonywanie poleceń i możliwość przełączania między TCP i UDP dla połączeń C2. Obsługuje 22 unikalne polecenia, które umożliwiają takie działania, jak pobieranie metadanych hosta i wykonywanie dowolnego kodu PHP. Zdolność backdoora do modyfikowania krytycznych plików systemowych, w tym tych związanych z ustawieniami sieciowymi, zapewnia jego trwałość nawet po ponownym uruchomieniu systemu.
Serbska policja rzekomo używa oprogramowania szpiegującego NoviSpy do monitorowania dziennikarzy
Dochodzenia ujawniają, że autorzy szkodliwego oprogramowania wykorzystują Glutton nie tylko do tradycyjnego szpiegostwa, ale także do skierowania operacji cyberprzestępczych przeciwko innym atakującym. Osadzając Glutton w dostępnych pakietach oprogramowania sprzedawanych na forach cyberprzestępczych, skierowanych głównie do oszustów sprzedających zwodnicze usługi, twórcy umieścili backdoora w celu wydobycia wrażliwych danych od konkurencyjnych cyberprzestępców za pomocą narzędzi takich jak HackBrowserData.
Strategia celowania odzwierciedla innowacyjne podejście opisane przez XLab jako „czarny zjada czarnego”, co wskazuje na taktykę, w ramach której Winnti infiltruje i osłabia rywalizujących przeciwników w sektorze cyberprzestępczości. Według doniesień Glutton był używany przeciwko systemom należącym do dostawców usług IT, agencji zabezpieczenia społecznego i twórców aplikacji internetowych, koncentrując się na narzędziach powszechnie używanych w ekosystemie cyberprzestępczym.
Szkodnik został wykryty w zaatakowanych środowiskach wykorzystujących popularne frameworki PHP, które mają kluczowe znaczenie dla funkcjonowania wielu aplikacji biznesowych.
Autor wyróżnionego obrazu: Jamesa Yaremy/Unsplash
