Команда дослідників кібербезпеки QAX XLab виявила новий потужний інструмент кіберзлочинців – модульний PHP-бекдор Glutton, розроблений відомим хакерським угрупованням Winnti (також відомим як APT41). Особливістю цієї загрози є не лише націленість на організації в Китаї та США, але й унікальна стратегія компрометації систем інших кіберзлочинців.
Архітектура та технічні можливості Glutton
Glutton представляє собою складний модульний ELF-бекдор, що складається з чотирьох основних компонентів. Task_loader відповідає за аналіз системного оточення, init_task забезпечує первинне впровадження бекдора, client_loader реалізує механізми обфускації, а client_task керує комунікацією з командним центром та основними функціями PHP-бекдора.
Методи маскування та персистентності
Шкідливе програмне забезпечення демонструє високий рівень витонченості у приховуванні своєї присутності. Воно маскується під легітимний процес php-fpm та використовує бесфайлове виконання в пам’яті. Для забезпечення довготривалого доступу Glutton модифікує критичні системні файли, зокрема /etc/init.d/network, та впроваджує шкідливий код у популярні PHP-фреймворки: ThinkPHP, Yii, Laravel і Dedecms.
Інноваційна тактика “хакер проти хакера”
Особливу увагу привертає нестандартна стратегія Winnti з атак на інших кіберзлочинців. Glutton інтегрується у шкідливі пакети, що продаються на хакерських форумах, включаючи фальшиві криптовалютні біржі та ігрові платформи. Після успішного проникнення бекдор активує інструмент HackBrowserData для викрадення конфіденційних даних з браузерів – паролів, cookies та платіжної інформації.
Хронологія виявлення та рекомендації щодо захисту
Перші ознаки активності Glutton були зафіксовані у грудні 2023 року, а повномасштабне виявлення відбулося у квітні 2024 року. Для захисту від цієї загрози рекомендується впровадити комплекс заходів: посилений моніторинг PHP-процесів, регулярні перевірки цілісності системних файлів та багаторівневий захист веб-серверів. Особливу увагу слід приділити контролю за популярними PHP-фреймворками та своєчасному оновленню систем безпеки.
