Специалисты китайской ИБ-компании QAX XLab заметили, что хак-группа Winnti (она же APT41) использует новый PHP-бэкдор Glutton для атак на организации в Китае и США, а также для взлома других киберпреступников.
Glutton был обнаружен в апреле 2024 года, однако найденные исследователями доказательства и артефакты в коде самой малвари указывают на то, что бэкдор применяется в атаках с декабря 2023 года.
Glutton представляет собой модульный ELF-бэкдор, который обеспечивает своим операторам гибкость и скрытность, позволяя активировать определенные компоненты для проведения различных атак.
По словам исследователей, основными компонентами малвари являются: task_loader, который контролирует окружение; init_task, который отвечает за установку бэкдора; client_loader, который отвечает за обфускацию; а также client_task, который управляет PHP-бэкдором и его взаимодействием с управляющим сервером.
Бэкдор маскируется под процесс php-fpm и обеспечивает бесфайловое выполнение через динамические операции в памяти, а также внедряет вредоносный код (l0ader_shell) в PHP-файлы фреймворков ThinkPHP, Yii, Laravel и Dedecms.
Чтобы закрепиться в системе Glutton модифицирует системные файлы, включая /etc/init.d/network, также может модифицировать файлы панели Baota (популярный в Китае инструмент для управления серверами), чтобы воровать учетные данные и настройки.
Среди поддерживаемых малварью команд перечислены:
Эксперты заявляют, что Winnti использует Glutton против организаций в Китае и США, в основном атакуя ИТ-сервисы, социальные службы и разработчиков веб-приложений.
Жертвы Glutton на картеНо также хакеры активно применяют Glutton для атак на других хакеров, внедряя его в различные пакеты, которые продаются на хак-форумах (например, Timibbs). К примеру, малварь может быть встроена в игорные и игровые решения, фальшивые криптовалютные биржи и платформы для фарма кликов.
Заразив систему злоумышленника, Glutton запускает инструмент HackBrowserData для извлечения конфиденциальной информации из его браузеров, включая пароли, cookie, данные банковских карт, историю загрузок и историю браузинга.
Glutton был обнаружен в апреле 2024 года, однако найденные исследователями доказательства и артефакты в коде самой малвари указывают на то, что бэкдор применяется в атаках с декабря 2023 года.
Glutton представляет собой модульный ELF-бэкдор, который обеспечивает своим операторам гибкость и скрытность, позволяя активировать определенные компоненты для проведения различных атак.
По словам исследователей, основными компонентами малвари являются: task_loader, который контролирует окружение; init_task, который отвечает за установку бэкдора; client_loader, который отвечает за обфускацию; а также client_task, который управляет PHP-бэкдором и его взаимодействием с управляющим сервером.
Бэкдор маскируется под процесс php-fpm и обеспечивает бесфайловое выполнение через динамические операции в памяти, а также внедряет вредоносный код (l0ader_shell) в PHP-файлы фреймворков ThinkPHP, Yii, Laravel и Dedecms.
Чтобы закрепиться в системе Glutton модифицирует системные файлы, включая /etc/init.d/network, также может модифицировать файлы панели Baota (популярный в Китае инструмент для управления серверами), чтобы воровать учетные данные и настройки.
- создание, чтение, запись, удаление и изменение файлов;
- выполнение шелл-команд;
- сканирование системных каталогов;
- получение метаданных хоста;
- переключение между TCP- и UDP-соединениями;
- обновление C&C-конфигурации.
Эксперты заявляют, что Winnti использует Glutton против организаций в Китае и США, в основном атакуя ИТ-сервисы, социальные службы и разработчиков веб-приложений.
Жертвы Glutton на карте
Заразив систему злоумышленника, Glutton запускает инструмент HackBrowserData для извлечения конфиденциальной информации из его браузеров, включая пароли, cookie, данные банковских карт, историю загрузок и историю браузинга.