Glutton – zaawansowany, choć niedoskonały
Zespół XLab należący do chińskiej firmy zajmującej się bezpieczeństwem QAX, zidentyfikował złośliwe oprogramowanie „Glutton” w kwietniu 2024 roku. Pomimo tego, dowody na jego aktywność sięgają już grudnia 2023 roku. Glutton, choć zaawansowany, cechuje się widocznymi słabościami w zakresie skradania się i szyfrowania. Eksperci sugerują, że backdoor może wciąż znajdować się w fazie rozwoju, co daje ofiarom pewne szanse na zidentyfikowanie go przed wywołaniem poważniejszych szkód.
Nowy backdoor wyróżnia się modułową budową i wszechstronnością. Jego kluczowe elementy obejmują:
task_loader – inicjuje ataki i dostosowuje środowisko,
init_task – instaluje tylne drzwi,
client_loader – wprowadza elementy zaciemniania kodu,
client_task – zarządza komunikacją z serwerem C2 oraz obsługą tylnego wejścia PHP.
Dzięki wykorzystaniu procesów PHP i PHP-FPM, Glutton może skutecznie unikać wykrycia, co czyni go wyjątkowo trudnym do identyfikacji przez standardowe narzędzia bezpieczeństwa. Dodatkowo, jego zdolność do dynamicznego wykonywania kodu w pamięci umożliwia bezplikowe działanie – jeden z najtrudniejszych do zwalczenia rodzajów ataków.
Winnti – cyberprzestępczy potentat
Winnti, znana również jako APT41, to jedna z najbardziej znanych grup hakerskich sponsorowanych przez państwo chińskie. Od 2012 roku przeprowadza zaawansowane ataki na organizacje z różnych sektorów, w tym farmaceutycznego, telekomunikacyjnego, gier komputerowych, a także na instytucje polityczne i rządowe.
Glutton wpisuje się w charakterystyczny modus operandi grupy, która nie ogranicza się jedynie do szpiegostwa, ale angażuje się również w kradzież finansową. Co istotne, XLab donosi, że Glutton nie tylko atakuje organizacje w Chinach i USA, ale również innych cyberprzestępców – co może świadczyć o próbach eliminacji konkurencji w ciemnej strefie cyberprzestępczości.
Glutton umożliwia hakerom Winnti elastyczne przeprowadzanie zaawansowanych ataków. Backdoor modyfikuje systemowe pliki, takie jak „/etc/init.d/network,” co zapewnia trwałość pomiędzy ponownymi uruchomieniami systemu. Dodatkowo, potrafi manipulować plikami panelu Baota, co pozwala na kradzież danych uwierzytelniających i konfiguracji.
Backdoor obsługuje aż 22 różne polecenia z serwera C2, w tym:
Tworzenie, modyfikowanie i usuwanie plików,
Wykonywanie poleceń powłoki,
Skryte ocenianie kodu PHP,
Skanowanie katalogów systemowych,
Przełączanie między połączeniami TCP a UDP.
Atak opiera się na wstrzykiwaniu złośliwego kodu do popularnych frameworków PHP, takich jak Laravel, ThinkPHP czy Dedecms. To czyni Gluttona szczególnie niebezpiecznym dla organizacji korzystających z tych technologii w kluczowych aplikacjach biznesowych.
Cel: organizacje i cyberprzestępcy
Ataki Gluttona skierowane są przede wszystkim na firmy IT, agencje ubezpieczeń społecznych oraz twórców aplikacji internetowych w Chinach i USA. Eksperci wskazują, że popularność wykorzystywanych frameworków PHP może zwiększać liczbę potencjalnych ofiar.
Glutton, jako narzędzie umożliwiające bezplikowe ataki, stanowi poważne zagrożenie dla bezpieczeństwa cybernetycznego. Jego rozwój świadczy o rosnących ambicjach grupy Winnti, która nie tylko prowadzi szpiegostwo państwowe, ale również aktywnie walczy o dominację w świecie cyberprzestępczości.
Choć Glutton wciąż ma swoje wady, jego zaawansowana architektura i elastyczność w użyciu czynią go poważnym zagrożeniem dla współczesnych systemów. Organizacje powinny monitorować aktywność grupy Winnti i stosować zaawansowane mechanizmy ochrony, aby zapobiec atakom tego typu.
