Китайская хакерская группировка Winnti, известная своими кампаниями кибершпионажа и финансовыми преступлениями, представила новый инструмент — бэкдор Glutton. Эта вредоносная программа представляет собой модульный PHP-бэкдор, способный обеспечивать гибкость и скрытность атак. По данным лаборатории QAX’s XLab, впервые Glutton был обнаружен в апреле 2024 года, хотя следы его использования датируются декабрём 2023 года.
Недостатки раннего этапа разработки
Несмотря на свою продвинутость, Glutton пока имеет уязвимости в шифровании и скрытности, что указывает на раннюю стадию его разработки. Тем не менее, хакеры уже активно используют его для атак на организации в Китае и США, включая ИТ-службы, агентства социального обеспечения и разработчиков веб-приложений.
Модульная структура Glutton
Glutton — это модульный бэкдор на базе ELF, предоставляющий операторам возможность адаптировать атаки под конкретные цели. Его ключевые компоненты:
- task_loader — определяет окружение для выполнения;
- init_task — устанавливает бэкдор в систему;
- client_loader — внедряет обфускацию;
- client_task — управляет PHP-бэкдором и взаимодействует с командным сервером.
По словам исследователей XLab, эти модули могут функционировать независимо или работать последовательно, образуя комплексную структуру атаки. Glutton запускается внутри процессов PHP или PHP-FPM (FastCGI), что исключает наличие файловой полезной нагрузки и обеспечивает минимальный след.
Атаки на популярные PHP-фреймворки и веб-панель Baota
Glutton использует инъекции кода против таких популярных PHP-фреймворков, как ThinkPHP, Yii, Laravel и Dedecms. Эти платформы широко применяются для веб-разработки и критически важных приложений. Вредонос также нацелен на веб-панель Baota — инструмент управления серверами, популярный в Китае. Baota используется для работы с конфиденциальными данными, включая базы данных MySQL. Glutton изменяет системные файлы, такие как /etc/init.d/network, чтобы обеспечить постоянство между перезагрузками, и модифицирует файлы панели Baota для кражи учетных данных и конфигураций.
Охота на других киберпреступников
Одной из уникальных особенностей Glutton является его использование для атак на других хакеров. Злоумышленники внедряют бэкдор в программные пакеты, продаваемые на подпольных форумах, таких как Timibbs. Эти троянские версии программ замаскированы под игровые платформы, поддельные криптовалютные биржи и инструменты для клик-фарминга. После заражения систем Glutton активирует инструмент HackBrowserData для извлечения конфиденциальной информации из браузеров, включая пароли, куки, данные кредитных карт и историю просмотров.
«Мы предполагаем, что HackBrowserData используется в рамках стратегии «чёрное ест чёрное»», — объясняют в XLab. Операторы Glutton воруют данные у злоумышленников, использующих троянские программы, создавая замкнутую цепочку атак.
Команды и возможности Glutton
Glutton поддерживает 22 команды, которые позволяют:
- создавать, читать, изменять и удалять файлы;
- выполнять команды оболочки;
- анализировать PHP-код;
- сканировать системные каталоги;
- получать метаданные хоста;
- переключаться между соединениями TCP и UDP;
- обновлять конфигурацию серверов C2.
Итог
Новый бэкдор Glutton демонстрирует, как хакерская группа Winnti продолжает адаптироваться и использовать передовые технологии для кибератак. Хотя инструмент всё ещё находится в стадии разработки, его модульная структура и широкие возможности делают его серьёзной угрозой для организаций и даже других киберпреступников. Однако выявленные недостатки в шифровании и скрытности предоставляют экспертам по кибербезопасности возможность эффективно противостоять этой угрозе.
Тема: Linux центр Крылья
Наши партнёры: «Сияние любви», г. Вязники, СИЯНИЕ ЛЮБВИ • НН
Что думаете вы, дорогие наши подписчики? Делитесь своими впечатлениями в комментариях