Новый вредоносный код превратил оружие хакеров в их главную слабость.
Китайская хакерская группа Winnti, также известная как APT41, использует новый PHP-бэкдор под названием «Glutton» для атак на организации в Китае и США, а также на других киберпреступников. Обнаружение этой вредоносной программы принадлежит исследовательской лаборатории XLab китайской компании QAX.
По данным XLab, Glutton был впервые выявлен в апреле 2024 года, однако доказательства его активности датируются декабрём 2023 года. Хотя бэкдор обладает широкими возможностями, исследователи отмечают слабости в его скрытности и шифровании, что указывает на раннюю стадию разработки.
Glutton представляет собой модульный ELF-бэкдор, который гибко адаптируется под цели атак. Его ключевые компоненты включают модули для загрузки, установки, обфускации и работы бэкдора. Это позволяет хакерам Winnti использовать индивидуально настроенные атаки с минимальным следом в системе.
Работа бэкдора основывается на PHP-процессах, таких как PHP-FPM, что обеспечивает выполнение вредоносного кода без создания файлов на диске. Glutton также модифицирует системные файлы для сохранения присутствия между перезагрузками системы и нацелен на популярные PHP-фреймворки, такие как ThinkPHP, Yii, Laravel и Dedecms.
Интересно, что Winnti использует Glutton не только для атак на компании, но и для взлома систем других хакеров. Например, вредоносный код внедряется в программы, продаваемые на киберпреступных форумах, таких как Timibbs. Эти программы маскируются под игровые платформы, криптовалютные биржи или системы накрутки.
После заражения Glutton использует инструмент HackBrowserData для кражи данных из браузеров: паролей, куки, кредитных карт и другой конфиденциальной информации. XLab считает, что этот подход является частью стратегии «чёрный против чёрного», направленной на использование уязвимостей других хакеров.
Хотя активность Glutton продолжается более года, начальный вектор доступа остаётся неизвестным. Исследователи поделились индикаторами компрометации, чтобы помочь организациям защититься от угрозы.
Спойлер: она начинается с подписки на наш канал