Категория > Новости > Группировка Winnti атакует других хакеров через PHP-бэкдор Glutton - «Новости»

Группировка Winnti атакует других хакеров через PHP-бэкдор Glutton - «Новости»


17-12-2024, 00:00. Автор: Клементина

Специалисты китайской ИБ-компании QAX XLab заметили, что хак-группа Winnti (она же APT41) использует новый PHP-бэкдор Glutton для атак на организации в Китае и США, а также для взлома других киберпреступников.


Glutton был обнаружен в апреле 2024 года, однако найденные исследователями доказательства и артефакты в коде самой малвари указывают на то, что бэкдор применяется в атаках с декабря 2023 года.


Glutton представляет собой модульный ELF-бэкдор, который обеспечивает своим операторам гибкость и скрытность, позволяя активировать определенные компоненты для проведения различных атак.


По словам исследователей, основными компонентами малвари являются: task_loader, который контролирует окружение; init_task, который отвечает за установку бэкдора; client_loader, который отвечает за обфускацию; а также client_task, который управляет PHP-бэкдором и его взаимодействием с управляющим сервером.


«Эти полезные нагрузки отличаются высокой степенью модульности, они могут функционировать независимо друг от друга или выполняться последовательно через task_loader, формируя комплексную структуру атаки, — пишут эксперты. — Выполнение кода связано с процессами PHP или PHP-FPM (FastCGI), что гарантирует отсутствие файловой полезной нагрузки и обеспечивает сокрытие следов».


Бэкдор маскируется под процесс php-fpm и обеспечивает бесфайловое выполнение через динамические операции в памяти, а также внедряет вредоносный код (l0ader_shell) в PHP-файлы фреймворков ThinkPHP, Yii, Laravel и Dedecms.


Чтобы закрепиться в системе Glutton модифицирует системные файлы, включая /etc/init.d/network, также может модифицировать файлы панели Baota (популярный в Китае инструмент для управления серверами), чтобы воровать учетные данные и настройки.





Среди поддерживаемых малварью команд перечислены:



  • создание, чтение, запись, удаление и изменение файлов;

  • выполнение шелл-команд;

  • сканирование системных каталогов;

  • получение метаданных хоста;

  • переключение между TCP- и UDP-соединениями;

  • обновление C&C-конфигурации.


Эксперты заявляют, что Winnti использует Glutton против организаций в Китае и США, в основном атакуя ИТ-сервисы, социальные службы и разработчиков веб-приложений.



Жертвы Glutton на карте

Но также хакеры активно применяют Glutton для атак на других хакеров, внедряя его в различные пакеты, которые продаются на хак-форумах (например, Timibbs). К примеру, малварь может быть встроена в игорные и игровые решения, фальшивые криптовалютные биржи и платформы для фарма кликов.


Заразив систему злоумышленника, Glutton запускает инструмент HackBrowserData для извлечения конфиденциальной информации из его браузеров, включая пароли, cookie, данные банковских карт, историю загрузок и историю браузинга.


«Мы полагаем, что HackBrowserData используется в рамках стратегии “черное ест черное”, — объясняют специалисты, —  Когда киберпреступники пытаются локально отладить или модифицировать зараженные бизнес-системы, операторы Glutton используют HackBrowserData для кражи ценной информации у самих злоумышленников. Таким образом, создается рекурсивная цепочка атак, которая использует активность самих злоумышленников против них самих».


Перейти обратно к новости