中国のハッキング・グループ「Winnti」は、「Glutton」と名付けられた新しいPHPバックドアを、中国と米国の組織への攻撃や、他のサイバー犯罪者への攻撃に使用している。
中国のセキュリティ企業QAXのXLabは、この新しいPHPマルウェアを2024年4月下旬に発見したが、他のファイルとともに、このマルウェアが展開された証拠は2023年12月にさかのぼる。
XLabは、Gluttonは高度なバックドアであるが、ステルス性と暗号化において顕著な弱点があり、これは開発初期段階であることを示しているのかもしれないとコメントしている。
APT41としても知られるWinntiは、サイバースパイや金融窃盗キャンペーンで知られる悪名高い中国の国家支援ハッキンググループだ。
2012年の登場以来、同グループはゲーム、製薬、通信業界の組織を標的にする一方、政治組織や政府機関も攻撃してきた。
新しいGluttonバックドア
GluttonはELFベースのモジュール式バックドアで、Winntiのハッカーに柔軟性とステルス性を提供し、特定のコンポーネントを有効にしてカスタマイズされた攻撃を可能にする。
そのコア・コンポーネントは、環境を決定する「task_loader」、バックドアをインストールする「init_task」、難読化を導入する「client_loader」、PHPバックドアを操作し、コマンド・アンド・コントロール(C2)サーバーと通信する「client_task」である。
「これらのペイロードは高度にモジュール化されており、独立して機能することも、task_loaderを介して順次実行され、包括的な攻撃フレームワークを形成することもできる」とXLabは説明する。
「すべてのコード実行はPHPまたはPHP-FPM(FastCGI)プロセス内で行われるため、ファイル・ペイロードが残されることはなく、ステルス性の高い足跡を残すことができます。
‘php-fpm’プロセスを装うバックドアは、動的なインメモリ実行によってファイルレス実行を容易にし、ThinkPHP、Yii、Laravel、Dedecmsフレームワーク上のPHPファイルに悪意のあるコード(’l0ader_shell’)を注入します。
Gluttonは、「/etc/init.d/network」のようなシステムファイルを変更してリブート間の永続性を確立し、Baotaパネルファイルを変更して足場を維持し、認証情報と設定を盗むこともできます。
Baotaとは別に、このマルウェアはファイルシステムからシステム情報やデータを流出させることもできます。
Gluttonは、C2サーバーから受信した22のコマンドをサポートしており、以下のアクションを命令します:
- ファイルの作成、読み取り、書き込み、削除、変更
- シェルコマンドの実行
- PHPコードの評価
- システムディレクトリのスキャン
- ホストのメタデータを取得する
- TCP 接続と UDP 接続の切り替え
- C2 設定の更新
他のサイバー犯罪者の標的
XLabによると、Winntiは中国と米国のターゲットにGluttonを展開し、主にITサービス、社会保障機関、ウェブアプリ開発者をターゲットにしている。
コードインジェクションは、ThinkPHP、Yii、Laravel、Dedecmsなど、ビジネスクリティカルなアプリケーションでよく見られる、ウェブ開発に使用される一般的なPHPフレームワークに対して使用される。
また、中国で人気の高いサーバー管理ツールであるBaotaウェブパネルも、MySQLデータベースを含む機密データの管理に一般的に使用されているため、標的とされています。
脅威行為者はまた、Timibbsのようなサイバー犯罪フォーラムで販売されているソフトウェアパッケージ内にGluttonを埋め込み、他のハッカーを積極的に狩るために積極的に使用しています。これらのトロイの木馬化されたソフトウェア・パッケージは、ギャンブルやゲーム・システム、偽の暗号通貨取引所、クリック・ファーミング・プラットフォームになりすます。
サイバー犯罪者のシステムが感染すると、Gluttonは「HackBrowserData」ツールを展開し、ウェブブラウザからパスワード、クッキー、クレジットカード、ダウンロード履歴、閲覧履歴などの機密情報を抽出する。
「私たちは、HackBrowserDataが “黒が黒を食べる “戦略の一環として展開されたと仮定しています」とXLabsは説明する。
「サイバー犯罪者がバックドアされたビジネスシステムをローカルでデバッグまたは変更しようとするとき、Gluttonのオペレーターは、サイバー犯罪者自身から価値の高い機密情報を盗むためにHackBrowserDataを展開します。これにより、攻撃者自身の活動を逆手にとって、再帰的な攻撃の連鎖が生まれます。”
XLabsは、1年以上前から行われているこのWinntiキャンペーンに関連する侵害の指標を共有しました。しかし、最初のアクセス・ベクトルは不明のままです。
Comments