Badacze ds. cyberbezpieczeństwa odkryli nowe zagrożenie w formie tylnej furtki opartej na PHP, nazwane Glutton. Malware ten został wykorzystany w atakach cybernetycznych wymierzonych w cele w Chinach, Stanach Zjednoczonych, Kambodży, Pakistanie i Południowej Afryce. Złośliwe oprogramowanie zostało zidentyfikowane przez analityków z QiAnXin XLab pod koniec kwietnia 2024 roku. Zespół badaczy z umiarkowaną pewnością przypisuje Glutton do aktywności grupy APT41 (znanej również jako Winnti), co może wskazywać na związek z chińskimi grupami państwowymi.
Interesującym aspektem odkrycia jest to, że twórcy Glutton postanowili skupić swoje działania na rynku cyberprzestępczym. Zaanalizowane działania sugerują, że malware został zaprojektowany w sposób, który pozwala „zatruwać” operacje cyberprzestępców, odwracając ich narzędzia przeciwko nim samym. Jest to swoiste przełożenie zasady „brak honoru wśród złodziei” na pole walki w cyberprzestrzeni.
Glutton jest w stanie uzyskać wrażliwe informacje systemowe, wdrożyć komponent ELF backdoor oraz przeprowadzać wstrzykiwanie kodu na popularnych frameworkach PHP, takich jak Baota (BT), ThinkPHP, Yii i Laravel. Komponent ELF wykazuje duże podobieństwo do narzędzia Winnti o nazwie PWNLNX, co dodatkowo potwierdza podejrzenia dotyczące jego pochodzenia.
Pomimo oczywistych podobieństw do działań APT41, badacze nie są w stanie jednoznacznie przypisać Glutton do tej grupy. Zauważono brak typowych dla tego aktora technik ukrywania działań oraz innych strategii związanych ze stealth. Wykorzystanie niezaszyfrowanej komunikacji C2, przesyłanie ładunków za pomocą protokołu HTTP (zamiast bezpieczniejszego HTTPS) oraz brak jakiejkolwiek obfuskacji kodu sprawiają, że działanie malware jest „niezwykle przeciętne” w odniesieniu do standardów APT41.
Glutton to wysoce modularne oprogramowanie, które może infekować pliki PHP na urządzeniach docelowych oraz instalować tylne furtki, umożliwiając dalsze ataki. Dostęp początkowy uzyskiwany jest przez wykorzystanie luk zero-day, błędów N-day oraz ataków brute-force. Ciekawym aspektem jest również wykorzystanie for internetowych jako platformy reklamowej, gdzie prezentowane są zainfekowane hosty przedsiębiorstw z wstrzykniętym zapleczem l0ader_shell. Pozwala to operatorom przeprowadzać ataki na innych cyberprzestępców.
Jednym z kluczowych modułów Glutton jest „taskloader”, który służy do analizy środowiska wykonawczego oraz pobierania dodatkowych komponentów. Wśród tych komponentów znajduje się „inittask”, który umożliwia pobieranie ELF backdoora ukrywającego się jako FastCGI Process Manager („/lib/php-fpm”). Moduł infekuje pliki PHP złośliwym kodem, co pozwala na dalsze wykonywanie ładunków, zbieranie wrażliwych informacji oraz modyfikowanie plików systemowych.
Jedną z bardziej niekonwencjonalnych cech Glutton jest zdolność do modyfikowania plików systemowych, takich jak „/etc/init.d/network”, w celu zapewnienia trwałości ataku. Z kolei moduł „clientloader”, będący refaktoryzacją „inittask”, korzysta z nowej infrastruktury sieciowej i umożliwia pobieranie oraz wykonywanie zainfekowanych klientów. Dzięki temu malware pozostaje aktywne, unikając wykrycia przez tradycyjne systemy bezpieczeństwa.
Warto zauważyć, że Glutton obsługuje aż 22 unikalne komendy, pozwalające na przełączanie połączeń C2 między TCP i UDP, uruchamianie shella, pobieranie i przesyłanie plików, wykonywanie operacji na plikach i katalogach, a także uruchamianie dowolnego kodu PHP. Co więcej, w ramach swej modularnej architektury framework może regularnie pobierać i uruchamiać nowe ładunki PHP z serwera kontrolnego C2, dostosowując swoje działanie do zmieniających się okoliczności.
Jednym z najbardziej nietypowych elementów Glutton jest narzędzie HackBrowserData wykorzystywane na systemach cyberprzestępców. Jego celem jest kradzież informacji wrażliwych, które mogą zostać wykorzystane w przyszłych kampaniach phishingowych lub społecznej inżynierii. Takie podejście wskazuje na strategiczne nastawienie twórców Glutton, którzy postanowili wycelować nie tylko w tradycyjne ofiary, ale również w zasoby operatorów cyberprzestępstw.
Atak oparty na Glutton jest nie tylko przykładem zaawansowanego podejścia do zagrożeń w świecie cyfrowym, ale także przypomnieniem, że nawet narzędzia cyberprzestępców nie są odporne na zagrożenia i mogą obrócić się przeciwko ich twórcom. Analizując działania Glutton, uwidacznia się ciągle ewoluująca natura cyberbezpieczeństwa, w której każdy krok naprzód wiąże się z nowymi wyzwaniami i zagrożeniami.