Das Cybersicherheitsunternehmen QiAnXin XLab hat identifiziert eine neue PHP-Hintertür namens Glutton, die bei gezielten Cyberangriffen in mehreren Ländern eingesetzt wurde, darunter China, den Vereinigten Staaten, Kambodscha, Pakistan und Südafrika. Diese Malware, die mit mäßigem Vertrauen mit der staatlich geförderten chinesischen Gruppe Winnti (auch bekannt als APT41) in Verbindung gebracht wird, hat aufgrund ihres einzigartigen Ansatzes, Cyberkriminelle selbst ins Visier zu nehmen, Aufmerksamkeit erregt.
QiAnXin XLab deckt Glutton-Hintertür auf, die bei Cyberangriffen verwendet wird
Glutton wurde Ende April 2024 entdeckt, wurde aber vermutlich bereits im Dezember 2023 eingesetzt und wurde entwickelt, um vertrauliche Systeminformationen zu sammeln und bösartigen Code auf beliebten PHP-Frameworks wie Laravel, ThinkPHP und Yii auszuführen. Die Hintertür entfernt eine ELF-Komponente und wurde als „nahezu vollständige Ähnlichkeit“ mit dem bekannten Winnti-Tool PWNLNX beschrieben. Allerdings stellten die Forscher einen „Mangel an Stealth-Techniken“ fest, die für Winnti-Kampagnen typisch sind, was darauf hindeutet, dass sich die Malware möglicherweise noch in der Entwicklung befindet.
Die Glutton-Malware arbeitet über verschiedene Module, wobei das Modul „task_loader“ eine entscheidende Rolle bei der Bewertung der Ausführungsumgebung spielt. Zu den Hauptfunktionen, die von der Hintertür unterstützt werden, gehören Code-Injection, das Erstellen von Persistenz und die Kommunikation mit Command-and-Control-Servern (C2) über ungesichertes HTTP.
Was ist Vielfraß?
Glutton ist ein modulares Malware-Framework, das seine Vorgänge ausführt, ohne herkömmliche dateibasierte Beweise zu hinterlassen, und Tarnung durch die Ausführung von Anweisungen innerhalb der PHP- oder PHP-FPM-Prozesse erreicht. Dieser Ansatz ermöglicht es, Nutzlasten dynamisch zu löschen und gleichzeitig die Erkennungsmechanismen zu umgehen, die üblicherweise von Cybersicherheitstools eingesetzt werden. Das Framework umfasst Komponenten wie „init_task“, das die Hintertür installiert, und „client_loader“, das verfeinerte Netzwerkprotokolle einführt, um seine Bereitstellungsmöglichkeiten zu verbessern.
Der Befehlssatz von Glutton ist umfangreich und ermöglicht eine Reihe von Vorgängen wie Dateimanipulation, Befehlsausführung und die Möglichkeit, für C2-Verbindungen zwischen TCP und UDP zu wechseln. Es unterstützt 22 einzigartige Befehle, die Aktionen wie das Abrufen von Host-Metadaten und die Ausführung beliebigen PHP-Codes ermöglichen. Die Fähigkeit der Hintertür, kritische Systemdateien zu ändern, einschließlich derjenigen, die mit Netzwerkeinstellungen verknüpft sind, stellt sicher, dass sie auch nach Systemneustarts bestehen bleibt.
Die serbische Polizei nutzt angeblich die Spionagesoftware NoviSpy, um Journalisten zu überwachen
Untersuchungen zeigen, dass die Autoren der Malware Glutton nicht nur zur herkömmlichen Spionage nutzen, sondern auch, um Cyberkriminalität gegen andere Angreifer auszurichten. Durch die Einbettung von Glutton in zugängliche Softwarepakete, die in Foren zur Cyberkriminalität verkauft werden und sich in erster Linie an Betrüger richten, die betrügerische Dienste verkaufen, haben die Entwickler die Hintertür positioniert, um mithilfe von Tools wie HackBrowserData vertrauliche Daten von rivalisierenden Cyberkriminellen zu extrahieren.
Die Targeting-Strategie spiegelt einen innovativen Ansatz wider, den XLab als „Schwarz isst Schwarz“ beschreibt und der auf eine Taktik hinweist, bei der Winnti rivalisierende Gegner im Bereich der Cyberkriminalität infiltriert und untergräbt. Berichten zufolge wurde Glutton gegen Systeme von IT-Dienstleistern, Sozialversicherungsträgern und Web-App-Entwicklern eingesetzt, wobei der Schwerpunkt auf weit verbreiteten Tools im Ökosystem der Cyberkriminellen lag.
Die Malware wurde in kompromittierten Umgebungen mithilfe beliebter PHP-Frameworks entdeckt, die für das Funktionieren zahlreicher Geschäftsanwendungen von entscheidender Bedeutung sind.
Hervorgehobener Bildnachweis: James Yarema/Unsplash
