Поделиться
Новый бэкдор кормит киберпреступников их же пилюлями: Glutton атакует киберкриминальный мир
PHP-бэкдор Glutton атакует киберкриминальный мир слишком интенсивно, чтобы считать это случайностью. За кампанией может стоять группировка Winnti.
Но это не точно
Эксперты компании QiAnXin XLab выявили новый бэкдор Glutton («Чревоугодник»), который был использован в атаках на цели в КНР, США, Камбодже, Пакистане и Южной Африке. Исследователи со средней степенью уверенности предполагают, что создателями вредоноса стала китайская APT-группа Winnti/APT41.
Самое примечательное, однако, это выбор целей. По данным исследователей, атаки производились преимущественно на представителей киберпреступного мира.
Основное назначение Glutton – собирать значимую информацию. Кроме того, он выгружает в скомпрометированную систему бэкдор-компонент в виде исполняемого файла ELF и осуществляет инъекцию кода в популярные фреймворки PHP, такие как Baota, ThinkPHP, Yii и Laravel.
Вредоносная программа ELF «практически неотличима» от другого инструмента, принадлежащего Winnti, – бэкдора PWNLNX, выявленного еще в 2021 г. Что мешает однозначной атрибуции Glutton, так это отсутствие типичных для Winnti средств скрытности: отсутствует шифрование коммуникаций с командным центром, загрузка вредоносных компонентов осуществляется через HTTP, а не HTTPS, какой-либо обфускации также не выявлено. То есть, техническая продвинутость инструмента выглядит слишком низкой для Winnti.
«Это может свидетельствовать как о том, что кто-то использует деривативы инструментов Winnti неофициальным порядком, так и о том, что операторы Glutton не слишком и заинтересованы в том, чтобы серьезно маскировать свою деятельность, – полагает Никита Павлов, эксперт по информационной безопасности компании SEQ. – Учитывая, что Glutton нацелен на киберкриминал, это может оказаться даже показательной кампанией».
Многомодульность
Сам по себе Glutton является модульным фреймворком, позволяющим компрометировать PHP-файлы на целевых устройствах и устанавливать бэкдоры на них. Изначальный доступ предположительно осуществляется через эксплуатацию уязвимостей и брутфорс-атак.
Любопытно, что операторы Glutton рекламируют на хакерских форумах заранее скомпрометированные корпоративные хосты, с которых на устройства потенциальных жертв загружается l0ader_shell, бэкдор, встраивающийся в файлы PHP, что открывает операторам возможность атаковать киберпреступников.
Основной модуль, применяемый в атаке, – это task_loader, используемый для проверки среды выполнения кода и догрузки дополнительных компонентов, в том числе init_task, который активирует ELF-бэкдор, выдающий себя за менеджер процессов FastCGI (/lib/php-fpm). Он производит инъекцию вредоносного кода в PHP-файлы для последующего выполнения, собирает значимую информацию и модифицирует системные файлы. Цепочка атаки также включает модуль client_loader, переработанную версию init_task, которая использует видоизмененную сетевую инфраструктуру и способен скачивать и выполнять клиентское ПО с заложенным в него бэкдором. Он также модифицирует системные файлы для обеспечения постоянства присутствия.
Бэкдор PHP поддерживает 22 уникальные команды, которые позволяют переключать протоколы каналов связи с командным сервером (TCP, UDP), запускать шелл, скачивать и выгружать файлы, производить операции с файлами и каталогами и запускать произвольный код в среде PHP. Кроме того, он время от времени опрашивает командный сервер на предмет появления дополнительных компонентов.
В описании XLab указывается, что все эти компоненты являются модульными, способны работать по отдельности или в комбинациях, тем самым формируя полнодиапазонный фреймворк для проведения атак.
Исследователи также отмечают, что Glutton «стратегически сфокусирован» на эксплуатации операторов киберкриминальных ресурсов, тем самым формируя рекурсивную цепочку атак – действия киберпреступников оказываются направлены на них самих.
Поделиться
Короткая ссылка
