Новости «Чёрный против чёрного»: как бэкдор Glutton охотится на киберзлодеев

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Новый вредоносный код превратил оружие хакеров в их главную слабость.


t664dr3ejftt4ruzfscc0lryl0hn311q.jpg


Китайская хакерская группа Winnti, также известная как APT41, использует новый PHP- бэкдор под названием «Glutton» для атак на организации в Китае и США, а также на других киберпреступников. Обнаружение этой вредоносной программы принадлежит исследовательской лаборатории XLab китайской компании QAX.

Для просмотра ссылки Войди или Зарегистрируйся XLab, Glutton был впервые выявлен в апреле 2024 года, однако доказательства его активности датируются декабрём 2023 года. Хотя бэкдор обладает широкими возможностями, исследователи отмечают слабости в его скрытности и шифровании, что указывает на раннюю стадию разработки.

Glutton представляет собой модульный ELF-бэкдор, который гибко адаптируется под цели атак. Его ключевые компоненты включают модули для загрузки, установки, обфускации и работы бэкдора. Это позволяет хакерам Winnti использовать индивидуально настроенные атаки с минимальным следом в системе.

Работа бэкдора основывается на PHP-процессах, таких как PHP-FPM, что обеспечивает выполнение вредоносного кода без создания файлов на диске. Glutton также модифицирует системные файлы для сохранения присутствия между перезагрузками системы и нацелен на популярные PHP-фреймворки, такие как ThinkPHP, Yii, Laravel и Dedecms.

Интересно, что Winnti использует Glutton не только для атак на компании, но и для взлома систем других хакеров. Например, вредоносный код внедряется в программы, продаваемые на киберпреступных форумах, таких как Timibbs. Эти программы маскируются под игровые платформы, криптовалютные биржи или системы накрутки.

После заражения Glutton использует инструмент HackBrowserData для кражи данных из браузеров: паролей, куки, кредитных карт и другой конфиденциальной информации. XLab считает, что этот подход является частью стратегии «чёрный против чёрного», направленной на использование уязвимостей других хакеров.

Хотя активность Glutton продолжается более года, начальный вектор доступа остаётся неизвестным. Исследователи поделились индикаторами компрометации, чтобы помочь организациям защититься от угрозы.
 
Источник новости
www.securitylab.ru

Похожие темы