Grupul chinez de hackeri Winnti utilizează un nou backdoor PHP numit ‘Glutton’ în atacuri asupra organizațiilor din China și SUA, dar și în atacuri asupra altor infractori cibernetici.
Firma de securitate chineză QAX’s XLab a descoperit noul malware PHP în aprilie 2024, dar dovezi ale implementării sale, împreună cu alte fișiere, datează din decembrie 2023.
XLab comentează că, deși Glutton este un backdoor avansat, are slăbiciuni notabile în stealth și criptare, ceea ce ar putea indica faptul că se află într-o fază incipientă de dezvoltare.
Winnti, cunoscut și sub numele de APT41, este un grup de hacking chinez notoriu, sponsorizat de stat, cunoscut pentru campanii de spionaj cibernetic și furturi financiare.
De la apariția sa în 2012, grupul a vizat organizații din industria jocurilor, farmaceutică și de telecomunicații, dar a atacat și organizații politice și agenții guvernamentale.
Glutton este un backdoor modular bazat pe ELF care oferă flexibilitate și stealth hackerilor Winnti, permițându-le să activeze componente specifice pentru atacuri personalizate.
Componentele sale de bază sunt ‘task_loader’, care determină mediul; ‘init_task’, care instalează backdoor-ul; ‘client_loader’, care introduce obfuscare; și ‘client_task’, care operează backdoor-ul PHP și comunică cu serverul de comandă și control (C2).
‘Aceste încărcături sunt extrem de modulare, capabile să funcționeze independent sau să fie executate secvențial prin intermediul ‘task_loader’ pentru a forma un cadru de atac cuprinzător,’ explică XLab.
‘Toate execuțiile de cod apar în procese PHP sau PHP-FPM (FastCGI), asigurând că nu sunt lăsate în urmă încărcături de fișiere, realizând astfel o amprentă stealth.’
Backdoor-ul, care se maschează sub forma unui proces ‘php-fpm’, facilitează execuția fără fișiere prin execuție dinamică în memorie și injectează coduri malitioase (‘l0ader_shell’) în fișiere PHP pe framework-urile ThinkPHP, Yii, Laravel și Dedecms.
Glutton modifică fișiere de sistem precum ‘/etc/init.d/network’ pentru a stabili persistența între reporniri și poate modifica și fișierele panoului Baota pentru a menține poziția și a fura credențiale și configurații.
În afară de Baota, malware-ul poate exfiltra informații de sistem și date din sistemul de fișiere.
Glutton suportă 22 de comenzi primite de la serverul C2, care ordonează următoarele acțiuni:
XLab spune că Winnti a implementat Glutton pe ținte din China și SUA, vizând în principal serviciile IT, agențiile de securitate socială și dezvoltatorii de aplicații web.
Injectarea de cod este folosită împotriva framework-urilor populare PHP folosite pentru dezvoltarea web, găsite în mod obișnuit în aplicații critice pentru afaceri, inclusiv ThinkPHP, Yii, Laravel și Dedecms.
Panoul web Baota, o unealtă de management a serverului populară în China, este de asemenea vizată deoarece este folosită în mod obișnuit pentru a administra date sensibile, inclusiv baze de date MySQL.
Actorii de amenințare folosesc activ Glutton pentru a vâna alți hackeri, încorporându-l în pachete software vândute pe forumuri de cybercrime precum Timibbs. Aceste pachete software troianizate impersonalizează sistemele de jocuri de noroc și gaming, schimburi de criptomonede false și platforme de click-farming.
Odată ce sistemele infractorilor cibernetici sunt infectate, Glutton implementează instrumentul ‘HackBrowserData’ pentru a extrage informații sensibile din browserele web, cum ar fi parole, cookie-uri, carduri de credit, istoric de descărcări și istoric de navigare.
‘Noi presupunem că HackBrowserData a fost implementat ca parte a unei strategii ‘black eats black’,’ explică XLabs.
‘Atunci când infractorii cibernetici încearcă să depaneze sau să modifice local sistemele de afaceri backdoor-ate, operatorii Glutton deploy HackBrowserData pentru a fura informații sensibile de înaltă valoare de la infractorii cibernetici înșiși. Acest lucru creează un lanț de atacuri recursiv, folosind activitățile atacatorilor împotriva lor.’
XLabs a împărtășit indicatori de compromitere legați de această campanie Winnti, care a fost în desfășurare de peste un an. Cu toate acestea, vectorul de acces inițial rămâne necunoscut.
Leave a Reply