В сети "гуляет" новый PHP-бэкдор Glutton

Китайская хакерская группа Winnti использует новый PHP-бэкдор под названием «Glutton» для атак на организации в Китае и США, а также на других киберпреступников.

Китайская компания по безопасности QAX’s XLab обнаружила новую вредоносную программу PHP в конце апреля 2024 года, но свидетельства ее развертывания вместе с другими файлами относятся к декабрю 2023 года.

XLab отмечает, что, хотя Glutton является продвинутым бэкдором, у него есть заметные недостатки в скрытности и шифровании, что может свидетельствовать о том, что скрипт находится на ранней стадии разработки.

Интересно: Российские хакеры APT44 атаковали 20 критически важных организаций в Украине

Winnti, также известная как APT41, – известная китайская государственная хакерская группировка, известная своими кибершпионажами и кампаниями по краже финансовых средств.

С момента своего появления на сцене в 2012 году группа атаковала организации в игровой, фармацевтической и телекоммуникационной отраслях, а также политические организации и правительственные учреждения.

Новый бэкдор Glutton

Glutton – это модульный бэкдор на базе ELF, который обеспечивает хакерам Winnti гибкость и скрытность, позволяя им активировать определенные компоненты для индивидуальных атак.

Его основными компонентами являются:

  1. task_loader, который определяет окружение;
  2. init_task, который устанавливает бэкдор;
  3. client_loader, который вводит обфускацию;
  4. client_task, который управляет PHP-бэкдором и взаимодействует с командным сервером.

«Эти полезные нагрузки очень модульные, они могут функционировать независимо или выполняться последовательно через task_loader, образуя комплексную структуру атаки. Все выполнение кода происходит внутри процессов PHP или PHP-FPM (FastCGI), что гарантирует отсутствие файловой полезной нагрузки и, таким образом, обеспечивает незаметный след»
- объясняет XLab

Интересно: 7 признаков того, что ваш пароль легко украсть

Бэкдор, маскирующийся под процесс php-fpm, обеспечивает бесфайловое исполнение путем динамического выполнения в памяти и внедряет вредоносный код („l0ader_shell“) в файлы PHP на фреймворках ThinkPHP, Yii, Laravel и Dedecms.

Glutton изменяет системные файлы, такие как /etc/init.d/network, чтобы обеспечить постоянство между перезагрузками, а также может модифицировать файлы панели Baota, чтобы закрепиться и украсть учетные данные и конфигурации.

Помимо Baota, вредоносная программа также может перехватывать системную информацию и данные из файловой системы.

Glutton поддерживает 22 команды, получаемые с сервера C2, которые предписывают следующие действия:

  • Создание, чтение, запись, удаление и изменение файлов.
  • Выполнение команд оболочки
  • Оценивать PHP-код
  • Сканировать системные каталоги
  • Получение метаданных хоста
  • Переключение между TCP- и UDP-соединениями
  • Обновление конфигурации C2

Борьба с другими киберпреступниками

XLab утверждает, что Winnti развернула Glutton на объектах в Китае и США, в основном нацеливаясь на ИТ-службы, агентства социального обеспечения и разработчиков веб-приложений.

Инъекция кода используется против популярных PHP-фреймворков, используемых для веб-разработки и часто встречающихся в критически важных приложениях, включая ThinkPHP, Yii, Laravel и Dedecms.

Веб-панель Baota, популярный в Китае инструмент управления серверами, также является мишенью, так как обычно используется для управления конфиденциальными данными, в том числе базами данных MySQL.

Хакеры также активно используют Glutton для охоты на других хакеров, внедряя его в программные пакеты, продаваемые на киберпреступных форумах вроде Timibbs. Эти троянские программы выдают себя за игорные и азартные системы, поддельные криптовалютные биржи и платформы для клик-фарминга.

После заражения систем злоумышленников Glutton запускает инструмент «HackBrowserData» для извлечения конфиденциальной информации из веб-браузеров, такой как пароли, куки, кредитные карты, история загрузок и просмотров.

«Мы предполагаем, что HackBrowserData был развернут в рамках стратегии «черное ест черное», – объясняет XLabs.

«Когда киберпреступники пытаются локально отладить или модифицировать заблокированные бизнес-системы, операторы Glutton используют HackBrowserData для кражи ценной конфиденциальной информации у самих злоумышленников. Таким образом, создается рекурсивная цепочка атак, использующая действия злоумышленников против них самих».

XLabs поделилась индикаторами компрометации, связанными с этой кампанией Winnti, которая ведется уже более года. Однако вектор первоначального доступа остается неизвестным.

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи
Как взломать собственную систему Linux?
Хакеры взломали большое количество непропатченных маршрутизаторов Cisco
Новая фишинговая кампания использует поврежденные документы Word для обхода защиты

Комментарии (0)