Cybersicherheitsforscher haben eine neue, hochentwickelte Malware namens Glutton identifiziert, die von der berüchtigten APT-Gruppe Winnti (auch bekannt als APT41) entwickelt wurde. Diese modulare PHP-Backdoor wird aktiv für gezielte Angriffe auf Organisationen in China und den USA eingesetzt und zeichnet sich durch eine besondere Taktik aus: das gezielte Kompromittieren anderer Cyberkrimineller.
Technische Analyse der Glutton-Malware
Die Malware wurde als komplexer modularer ELF-Backdoor konzipiert und besteht aus vier Hauptkomponenten: Der task_loader überwacht die Systemumgebung, während init_task für die Backdoor-Installation verantwortlich ist. client_loader implementiert Code-Verschleierung, und client_task steuert den PHP-Backdoor sowie die Command-and-Control-Kommunikation. Besonders bemerkenswert ist die Fähigkeit der Malware, sich als legitimer php-fpm-Prozess zu tarnen und fileless execution durch Memory-Operationen durchzuführen.
Infiltrationsmethoden und Persistenzmechanismen
Glutton infiltriert Systeme durch die Manipulation populärer PHP-Frameworks wie ThinkPHP, Yii, Laravel und Dedecms. Zur Gewährleistung der Persistenz modifiziert die Malware kritische Systemdateien, insbesondere /etc/init.d/network. Bei Angriffen auf chinesische Ziele wird zusätzlich das weitverbreitete Baota Control Panel kompromittiert, um Zugangsdaten und Konfigurationen zu extrahieren.
Innovative „Black-on-Black“ Angriffsstrategie
Eine besonders interessante Taktik der Winnti-Gruppe ist die gezielte Kompromittierung anderer Cyberkrimineller. Die Angreifer platzieren Glutton in verschiedenen Malware-Paketen, die auf Underground-Foren gehandelt werden, darunter gefälschte Kryptowährungsbörsen und Gaming-Plattformen. Nach erfolgreicher Infiltration setzt Glutton das Tool HackBrowserData ein, um sensible Informationen wie Passwörter, Cookies und Zahlungsdaten aus den Browsern der Zielsysteme zu extrahieren.
Die Entdeckung von Glutton markiert eine signifikante Entwicklung in der Cybersicherheitslandschaft. Erste Aktivitäten wurden im Dezember 2023 registriert, wobei die vollständige Aufdeckung im April 2024 erfolgte. Angesichts der technischen Raffinesse dieser Bedrohung wird Organisationen dringend empfohlen, ihre PHP-Prozesse intensiv zu überwachen, regelmäßige Integritätsprüfungen durchzuführen und mehrschichtige Sicherheitsmaßnahmen für ihre Webserver zu implementieren. Besondere Aufmerksamkeit sollte dabei der Überwachung von PHP-Framework-Modifikationen und der Validierung von Drittanbieter-Software gelten.
