A empresa de segurança cibernética QiAnXin XLab identificado um novo backdoor PHP chamado Glutton, que foi aproveitado em ataques cibernéticos direcionados em vários países, incluindo China, Estados Unidos, Camboja, Paquistão e África do Sul. Este malware, vinculado com confiança moderada ao grupo Winnti (também conhecido como APT41), patrocinado pelo Estado chinês, chamou a atenção devido à sua abordagem única de atingir os próprios criminosos cibernéticos.
QiAnXin XLab descobre backdoor Glutton usado em ataques cibernéticos
Glutton, descoberto no final de abril de 2024, mas que se acredita ter sido implantado já em dezembro de 2023, foi projetado para coletar informações confidenciais do sistema e executar código malicioso em estruturas PHP populares como Laravel, ThinkPHP e Yii. O backdoor descarta um componente ELF e foi caracterizado como tendo “semelhança quase completa” com a conhecida ferramenta PWNLNX do Winnti. No entanto, os pesquisadores notaram uma “falta de técnicas furtivas” típica das campanhas Winnti, o que sugere que o malware ainda pode estar em desenvolvimento.
O malware Glutton opera através de vários módulos, com o módulo “task_loader” desempenhando um papel crítico na avaliação do ambiente de execução. As principais funções suportadas pelo backdoor incluem injeção de código, criação de persistência e comunicação com servidores de comando e controle (C2) por HTTP não seguro.
O que é glutão?
Glutton é uma estrutura modular de malware que executa suas operações sem deixar evidências tradicionais baseadas em arquivos, alcançando sigilo ao executar instruções nos processos PHP ou PHP-FPM. Essa abordagem permite descartar cargas dinamicamente, evitando mecanismos de detecção comumente empregados por ferramentas de segurança cibernética. A estrutura inclui componentes como “init_task”, que instala o backdoor, e “client_loader”, que introduz protocolos de rede refinados para aprimorar seus recursos de implantação.
O conjunto de comandos do Glutton é extenso, permitindo uma variedade de operações, como manipulação de arquivos, execução de comandos e a capacidade de alternar entre TCP e UDP para conexões C2. Ele suporta 22 comandos exclusivos que permitem ações como recuperar metadados do host e executar código PHP arbitrário. A capacidade do backdoor de modificar arquivos críticos do sistema, incluindo aqueles associados às configurações de rede, garante sua persistência mesmo após a reinicialização do sistema.
A polícia sérvia supostamente usa spyware NoviSpy para monitorar jornalistas
As investigações revelam que os autores do malware estão usando o Glutton não apenas para espionagem tradicional, mas também para direcionar operações de crimes cibernéticos contra outros invasores. Ao incorporar o Glutton em pacotes de software acessíveis vendidos em fóruns de crimes cibernéticos, visando principalmente golpistas que vendem serviços enganosos, os criadores posicionaram o backdoor para extrair dados confidenciais de cibercriminosos rivais por meio de ferramentas como o HackBrowserData.
A estratégia de segmentação reflete uma abordagem inovadora descrita pela XLab como “preto come preto”, indicando uma tática em que Winnti se infiltra e prejudica adversários rivais no setor do crime cibernético. O Glutton teria sido usado contra sistemas pertencentes a provedores de serviços de TI, agências de seguridade social e desenvolvedores de aplicativos da web, com foco em ferramentas amplamente utilizadas no ecossistema do crime cibernético.
O malware foi descoberto em ambientes comprometidos usando estruturas PHP populares, que são essenciais para o funcionamento de vários aplicativos de negócios.
Crédito da imagem em destaque: James Yarema/Unsplash
