Специалисты по кибербезопасности из китайской компании QAX XLab обнаружили новую угрозу — модульный PHP-бэкдор Glutton, разработанный известной хакерской группировкой Winnti (APT41). Вредоносное ПО активно используется для проведения целенаправленных атак на организации в Китае и США, а также, что особенно примечательно, для компрометации систем других киберпреступников.
Технические особенности и функциональность Glutton
Glutton представляет собой сложный модульный ELF-бэкдор, обеспечивающий злоумышленникам высокую гибкость при проведении атак. Вредоносное ПО состоит из четырех ключевых компонентов: task_loader для контроля окружения, init_task для установки бэкдора, client_loader для обфускации кода и client_task для управления PHP-бэкдором и коммуникации с командным центром.
Особую опасность представляет способность малвари маскироваться под легитимный процесс php-fpm и осуществлять бесфайловое выполнение через операции в памяти. Вредоносный код внедряется в PHP-файлы популярных фреймворков, включая ThinkPHP, Yii, Laravel и Dedecms.
Методы персистентности и целевые атаки
Для закрепления в системе Glutton модифицирует критически важные системные файлы, в частности /etc/init.d/network. В случае атак на китайские цели бэкдор также компрометирует файлы панели управления Baota, популярной среди китайских администраторов, для хищения учетных данных и конфигураций.
Уникальная тактика «черное ест черное»
Особый интерес представляет стратегия группировки Winnti по атаке других киберпреступников. Злоумышленники внедряют Glutton в различные вредоносные пакеты, продаваемые на хакерских форумах, включая поддельные криптовалютные биржи и игровые платформы. После компрометации систем других хакеров, Glutton запускает инструмент HackBrowserData для извлечения конфиденциальной информации из браузеров, включая пароли, cookie-файлы и платежные данные.
Эксперты отмечают, что первые признаки активности Glutton были зафиксированы в декабре 2023 года, а полномасштабное обнаружение произошло в апреле 2024 года. Учитывая высокую степень технической сложности и модульность вредоносного ПО, организациям рекомендуется усилить мониторинг PHP-процессов, регулярно проверять целостность системных файлов и внедрить многоуровневую защиту веб-серверов.
