Бэкдор Glutton охотится на хакеров

Добро пожаловать на наш форум!

Спасибо за посещение нашего сообщества. Пожалуйста, зарегистрируйтесь или войдите, чтобы получить доступ ко всем функциям.


Gibby

Автор
Команда проекта

Регистрация
Сообщений
1,645
Репутация
45
Сделок
Специалисты китайской ИБ-компании QAX XLab заметили, что хак-группа Winnti (она же APT41) использует новый PHP-бэкдор Glutton для атак на организации в Китае и США, а также для взлома других киберпреступников.

Glutton был обнаружен в апреле 2024 года, однако найденные исследователями доказательства и артефакты в коде самой малвари указывают на то, что бэкдор применяется в атаках с декабря 2023 года.

Glutton представляет собой модульный ELF-бэкдор, который обеспечивает своим операторам гибкость и скрытность, позволяя активировать определенные компоненты для проведения различных атак.

По словам исследователей, основными компонентами малвари являются: task_loader, который контролирует окружение; init_task, который отвечает за установку бэкдора; client_loader, который отвечает за обфускацию; а также client_task, который управляет PHP-бэкдором и его взаимодействием с управляющим сервером.

«Эти полезные нагрузки отличаются высокой степенью модульности, они могут функционировать независимо друг от друга или выполняться последовательно через task_loader, формируя комплексную структуру атаки, — пишут эксперты. — Выполнение кода связано с процессами PHP или PHP-FPM (FastCGI), что гарантирует отсутствие файловой полезной нагрузки и обеспечивает сокрытие следов».

Бэкдор маскируется под процесс php-fpm и обеспечивает бесфайловое выполнение через динамические операции в памяти, а также внедряет вредоносный код (l0ader_shell) в PHP-файлы фреймворков ThinkPHP, Yii, Laravel и Dedecms.

Чтобы закрепиться в системе Glutton модифицирует системные файлы, включая /etc/init.d/network, также может модифицировать файлы панели Baota (популярный в Китае инструмент для управления серверами), чтобы воровать учетные данные и настройки.

3.jpg
Среди поддерживаемых малварью команд перечислены:
  • создание, чтение, запись, удаление и изменение файлов;
  • выполнение шелл-команд;
  • сканирование системных каталогов;
  • получение метаданных хоста;
  • переключение между TCP- и UDP-соединениями;
  • обновление C&C-конфигурации.

Эксперты заявляют, что Winnti использует Glutton против организаций в Китае и США, в основном атакуя ИТ-сервисы, социальные службы и разработчиков веб-приложений.

4.jpg
Жертвы Glutton на карте
Но также хакеры активно применяют Glutton для атак на других хакеров, внедряя его в различные пакеты, которые продаются на хак-форумах (например, Timibbs). К примеру, малварь может быть встроена в игорные и игровые решения, фальшивые криптовалютные биржи и платформы для фарма кликов.

Заразив систему злоумышленника, Glutton запускает инструмент HackBrowserData для извлечения конфиденциальной информации из его браузеров, включая пароли, cookie, данные банковских карт, историю загрузок и историю браузинга.

«Мы полагаем, что HackBrowserData используется в рамках стратегии “черное ест черное”, — объясняют специалисты, — Когда киберпреступники пытаются локально отладить или модифицировать зараженные бизнес-системы, операторы Glutton используют HackBrowserData для кражи ценной информации у самих злоумышленников. Таким образом, создается рекурсивная цепочка атак, которая использует активность самих злоумышленников против них самих».
 
Сверху