网络安全公司奇安信 XLab 已确定 一个名为 Glutton 的新 PHP 后门,已被用于多个国家的有针对性的网络攻击,包括中国、美国、柬埔寨、巴基斯坦和南非。这种恶意软件与中国国家支持的组织 Winnti(也称为 APT41)有一定的联系,由于其针对网络犯罪分子本身的独特方法而引起了人们的关注。
奇安信XLab发现网络攻击中使用的Glutton后门
Glutton 于 2024 年 4 月下旬被发现,但据信早在 2023 年 12 月就已部署,旨在收集敏感系统信息并在 Laravel、ThinkPHP 和 Yii 等流行 PHP 框架上执行恶意代码。该后门会释放一个 ELF 组件,并被描述为与 Winnti 的已知工具 PWNLNX“几乎完全相似”。然而,研究人员指出,Winnti 活动“缺乏隐秘技术”,这表明该恶意软件可能仍在开发中。
Glutton 恶意软件通过各种模块进行操作,其中“task_loader”模块通过评估执行环境发挥着关键作用。后门支持的主要功能包括代码注入、创建持久性以及通过不安全的 HTTP 与命令和控制 (C2) 服务器通信。
什么是贪食?
Glutton 是一种模块化恶意软件框架,可以在不留下传统的基于文件的证据的情况下执行其操作,通过在 PHP 或 PHP-FPM 进程中执行指令来实现隐秘性。这种方法允许它动态删除有效负载,同时逃避网络安全工具常用的检测机制。该框架包括安装后门的“init_task”和引入改进的网络协议以增强其部署能力的“client_loader”等组件。
Glutton 的命令集非常广泛,允许执行一系列操作,例如文件操作、命令执行以及在 C2 连接的 TCP 和 UDP 之间切换的能力。它支持 22 个独特的命令,可以执行检索主机元数据和执行任意 PHP 代码等操作。该后门能够修改关键系统文件(包括与网络设置相关的文件),确保其即使在系统重新启动后也能持续存在。
调查显示,该恶意软件的作者不仅利用 Glutton 进行传统的间谍活动,还利用网络犯罪活动来对付其他攻击者。通过将 Glutton 嵌入到网络犯罪论坛上出售的可访问软件包中(主要针对销售欺骗性服务的诈骗者),创建者设置了后门,通过 HackBrowserData 等工具从竞争对手的网络犯罪分子中提取敏感数据。
该目标策略反映了 XLab 所描述的“黑吃黑”的创新方法,表明 Winnti 渗透并削弱网络犯罪领域的对手的策略。据报道,Glutton 已被用于攻击 IT 服务提供商、社会保障机构和 Web 应用程序开发商的系统,重点关注网络犯罪生态系统中广泛使用的工具。
该恶意软件是在使用流行 PHP 框架的受感染环境中发现的,这些框架对于众多业务应用程序的运行至关重要。
特色图片来源: 詹姆斯·亚雷玛/Unsplash
