La società di sicurezza informatica QiAnXin XLab ha identificato una nuova backdoor PHP denominata Glutton, che è stata sfruttata per attacchi informatici mirati in più paesi, tra cui Cina, Stati Uniti, Cambogia, Pakistan e Sud Africa. Questo malware, legato con una certa sicurezza al gruppo cinese Winnti (noto anche come APT41), sponsorizzato dallo stato cinese, ha attirato l’attenzione grazie al suo approccio unico nel prendere di mira i criminali informatici stessi.
QiAnXin XLab scopre la backdoor Glutton utilizzata negli attacchi informatici
Glutton, scoperto alla fine di aprile 2024 ma che si ritiene sia stato implementato già nel dicembre 2023, è progettato per raccogliere informazioni sensibili di sistema ed eseguire codice dannoso su framework PHP popolari come Laravel, ThinkPHP e Yii. La backdoor rilascia un componente ELF ed è stata caratterizzata come avente una “somiglianza quasi completa” con il noto strumento PWNLNX di Winnti. Tuttavia, i ricercatori hanno notato una “mancanza di tecniche stealth” tipica delle campagne Winnti, il che suggerisce che il malware potrebbe essere ancora in fase di sviluppo.
Il malware Glutton opera attraverso vari moduli, tra cui il modulo “task_loader” svolge un ruolo fondamentale valutando l’ambiente di esecuzione. Le principali funzioni supportate dalla backdoor includono l’iniezione di codice, la creazione di persistenza e la comunicazione con server di comando e controllo (C2) su HTTP non protetto.
Cos’è Glutton?
Glutton è un framework malware modulare che esegue le sue operazioni senza lasciare prove tradizionali basate su file, ottenendo un’azione furtiva eseguendo istruzioni all’interno dei processi PHP o PHP-FPM. Questo approccio consente di rilasciare i carichi utili in modo dinamico eludendo i meccanismi di rilevamento comunemente utilizzati dagli strumenti di sicurezza informatica. Il framework include componenti come “init_task”, che installa la backdoor, e “client_loader”, che introduce protocolli di rete perfezionati per migliorare le sue capacità di distribuzione.
Il set di comandi di Glutton è ampio e consente una serie di operazioni come la manipolazione di file, l’esecuzione di comandi e la possibilità di passare da TCP a UDP per le connessioni C2. Supporta 22 comandi unici che abilitano azioni come il recupero dei metadati dell’host e l’esecuzione di codice PHP arbitrario. La capacità della backdoor di modificare file di sistema critici, compresi quelli associati alle impostazioni di rete, ne garantisce la persistenza anche dopo il riavvio del sistema.
La polizia serba presumibilmente utilizza lo spyware NoviSpy per monitorare i giornalisti
Le indagini rivelano che gli autori del malware utilizzano Glutton non solo per lo spionaggio tradizionale, ma anche per rivolgere operazioni di criminalità informatica contro altri aggressori. Incorporando Glutton all’interno di pacchetti software accessibili venduti sui forum sulla criminalità informatica, prendendo di mira principalmente i truffatori che vendono servizi ingannevoli, i creatori hanno posizionato la backdoor per estrarre dati sensibili dai criminali informatici rivali attraverso strumenti come HackBrowserData.
La strategia di targeting riflette un approccio innovativo descritto da XLab come “il nero mangia nero”, indicando una tattica con cui Winnti si infiltra e indebolisce gli avversari rivali nel settore del crimine informatico. Secondo quanto riferito, Glutton è stato utilizzato contro sistemi appartenenti a fornitori di servizi IT, agenzie di previdenza sociale e sviluppatori di app Web, concentrandosi su strumenti ampiamente utilizzati nell’ecosistema dei criminali informatici.
Il malware è stato scoperto all’interno di ambienti compromessi utilizzando i più diffusi framework PHP, fondamentali per il funzionamento di numerose applicazioni aziendali.
Credito immagine in primo piano: James Yarema/Unsplash
