Cybersecuritybedrijf QiAnXin XLab heeft geïdentificeerd een nieuwe PHP-achterdeur genaamd Glutton, die is gebruikt bij gerichte cyberaanvallen in meerdere landen, waaronder China, de Verenigde Staten, Cambodja, Pakistan en Zuid-Afrika. Deze malware, die met matig vertrouwen verbonden is aan de door de Chinese staat gesponsorde groep Winnti (ook bekend als APT41), heeft de aandacht getrokken vanwege zijn unieke aanpak om cybercriminelen zelf aan te vallen.
QiAnXin XLab onthult Glutton-achterdeur die wordt gebruikt bij cyberaanvallen
Glutton, eind april 2024 ontdekt maar vermoedelijk al in december 2023 ingezet, is ontworpen om gevoelige systeeminformatie te verzamelen en kwaadaardige code uit te voeren op populaire PHP-frameworks zoals Laravel, ThinkPHP en Yii. De achterdeur laat een ELF-component achter en wordt gekarakteriseerd als zijnde “bijna volledige gelijkenis” met Winnti’s bekende tool PWNLNX. Onderzoekers merkten echter een “gebrek aan stealth-technieken” op die typerend zijn voor Winnti-campagnes, wat erop wijst dat de malware mogelijk nog in ontwikkeling is.
De Glutton-malware werkt via verschillende modules, waarbij de ‘task_loader’-module een cruciale rol speelt bij het beoordelen van de uitvoeringsomgeving. De belangrijkste functies die door de achterdeur worden ondersteund, zijn code-injectie, het creëren van persistentie en het communiceren met command-and-control (C2)-servers via onbeveiligde HTTP.
Wat is Gluton?
Glutton is een modulair malwareframework dat zijn activiteiten uitvoert zonder traditioneel, op bestanden gebaseerd bewijsmateriaal achter te laten, en stealth te bereiken door instructies uit te voeren binnen de PHP- of PHP-FPM-processen. Deze aanpak maakt het mogelijk om de payloads dynamisch te verlagen en tegelijkertijd de detectiemechanismen te omzeilen die gewoonlijk door cyberbeveiligingstools worden gebruikt. Het raamwerk bevat componenten als ‘init_task’, die de achterdeur installeert, en ‘client_loader’, dat verfijnde netwerkprotocollen introduceert om de implementatiemogelijkheden ervan te verbeteren.
De opdrachtenset van Glutton is uitgebreid en maakt een reeks bewerkingen mogelijk, zoals bestandsmanipulatie, uitvoering van opdrachten en de mogelijkheid om te schakelen tussen TCP en UDP voor C2-verbindingen. Het ondersteunt 22 unieke opdrachten die acties mogelijk maken zoals het ophalen van host-metagegevens en het uitvoeren van willekeurige PHP-code. Het vermogen van de achterdeur om kritieke systeembestanden te wijzigen, inclusief bestanden die verband houden met netwerkinstellingen, zorgt ervoor dat deze blijft bestaan, zelfs nadat het systeem opnieuw is opgestart.
De Servische politie zou NoviSpy-spyware gebruiken om journalisten te monitoren
Uit onderzoek blijkt dat de auteurs van de malware Glutton niet alleen gebruiken voor traditionele spionage, maar ook om cybercrime-operaties tegen andere aanvallers uit te voeren. Door Glutton in te sluiten in toegankelijke softwarepakketten die op cybercriminaliteitsforums worden verkocht en zich voornamelijk richten op oplichters die misleidende diensten verkopen, hebben de makers de achterdeur gepositioneerd om gevoelige gegevens van rivaliserende cybercriminelen te extraheren via tools als HackBrowserData.
De targetingstrategie weerspiegelt een innovatieve aanpak die door XLab wordt beschreven als ‘zwart eet zwart’, wat een tactiek aangeeft waarbij Winnti rivaliserende tegenstanders in de cybercriminaliteitssector infiltreert en ondermijnt. Glutton is naar verluidt gebruikt tegen systemen van IT-dienstverleners, socialezekerheidsinstanties en webapp-ontwikkelaars, waarbij de nadruk lag op veelgebruikte tools in het cybercriminele ecosysteem.
De malware werd ontdekt in gecompromitteerde omgevingen met behulp van populaire PHP-frameworks, die cruciaal zijn voor het functioneren van talloze bedrijfsapplicaties.
Uitgelichte afbeeldingscredits: James Yarema/Unsplash
