Investigadores de ciberseguridad han descubierto una nueva puerta trasera basada en PHP emplazamiento Tragaldabas que se ha utilizado en ataques cibernéticos dirigidos a China, Estados Unidos, Camboya, Pakistán y Sudáfrica.
QiAnXin XLab, que descubrió la actividad maliciosa a finales de abril de 2024, atribuyó el malware previamente desconocido con moderada confianza al prolífico familia de estado-nación chino rastreado Winnti (además conocido como APT41).
«Curiosamente, nuestra investigación reveló que los creadores de Glutton apuntaron deliberadamente a sistemas en el interior del mercado del cibercrimen», dijo la compañía. «Con las operaciones de envenenamiento, pretendían retornar en su contra las herramientas de los ciberdelincuentes: un tablas clásico de ‘no hay honor entre los ladrones'».
Glutton está diseñado para resumir información confidencial del sistema, eliminar un componente de puerta trasera ELF y realizar inyección de código en marcos PHP populares como Baota (BT), ThinkPHP, Yii y Laravel. El malware ELF además comparte una «similitud casi completa» con una conocida utensilio Winnti conocida como PWNLNX.
A pesar de los vínculos con Winnti, XLab dijo que no puede vincular definitivamente la puerta trasera con el adversario conveniente a la desidia de técnicas de sigilo típicamente asociadas con el familia. La empresa de ciberseguridad describió las deficiencias como «inusualmente deficientes».
Esto incluye la desidia de comunicaciones cifradas de comando y control (C2), el uso de HTTP (en circunscripción de HTTPS) para descargar las cargas efectos y el hecho de que las muestras están libres de cualquier ofuscación.
En esencia, Glutton es un situación de malware modular capaz de infectar archivos PHP en dispositivos de destino, así como instalar puertas traseras. Se cree que el acercamiento auténtico se logra mediante la explotación de fallas de día cero y día N y ataques de fuerza bruta.
Otro enfoque poco convencional implica anunciar en foros de ciberdelincuencia hosts empresariales comprometidos que contienen l0ader_shell, una puerta trasera inyectada en archivos PHP, que permite a los operadores organizar ataques contra otros ciberdelincuentes.
El módulo principal que permite el ataque es «task_loader», que se utiliza para evaluar el entorno de ejecución y recuperar componentes adicionales, incluido «init_task», que es responsable de descargar una puerta trasera basada en ELF que se hace tener lugar por FastCGI Process Manager («/ lib/php-fpm»), infectando archivos PHP con código ladino para una veterano ejecución de la carga útil, y recopilando información confidencial y modificando archivos del sistema.
La dependencia de ataque además incluye un módulo llamado «client_loader», una lectura refactorizada de «init_task», que utiliza una infraestructura de red actualizada e incorpora la capacidad de descargar y ejecutar un cliente con puerta trasera. Modifica archivos del sistema como «/etc/init.d/network» para establecer la persistencia.
La puerta trasera PHP es una puerta trasera con todas las funciones que admite 22 comandos únicos que le permiten cambiar conexiones C2 entre TCP y UDP, iniciar un shell, descargar/cargar archivos, realizar operaciones de archivos y directorios y ejecutar código PHP despótico. Adicionalmente, el situación hace posible agenciárselas y ejecutar más cargas efectos de PHP sondeando periódicamente el servidor C2.
«Estas cargas efectos son mucho modulares, capaces de funcionar de forma independiente o ejecutarse secuencialmente a través de task_loader para formar un situación de ataque integral», dijo XLab. «Toda la ejecución del código se produce en el interior de procesos PHP o PHP-FPM (FastCGI), lo que garantiza que no se dejen antes cargas efectos de archivos, logrando así una huella sigilosa».
Otro aspecto trascendente es el uso de la utensilio HackBrowserData en sistemas utilizados por operadores de delitos cibernéticos para robar información confidencial con el objetivo probable de informar futuras campañas de phishing o ingeniería social.
«Adicionalmente de atacar a las tradicionales víctimas de ‘sombrero blanco’ a través del delito cibernético, Glutton demuestra un enfoque decisivo en la explotación de los posibles de los operadores de ciberdelito», dijo XLab. «Esto crea una dependencia de ataques recursivos, aprovechando las propias actividades de los atacantes contra ellos».
La divulgación se produce semanas a posteriori de que XLab detallara una lectura actualizada del malware APT41 llamado Mélofée que agrega mecanismos de persistencia mejorados e «incorpora un regulador de kernel enigmático RC4 para ocultar rastros de archivos, procesos y conexiones de red».
Una vez instalada, la puerta trasera de Linux está equipada para comunicarse con un servidor C2 para admitir y ejecutar varios comandos, incluida la colección de información de dispositivos y procesos, el inicio del shell, la dirección de procesos, la realización de operaciones de archivos y directorios y la desinstalación.
«Melofee ofrece una funcionalidad sencilla con capacidades sigilosas mucho efectivas», dijo. «Las muestras de esta tribu de malware son raras, lo que sugiere que los atacantes pueden impedir su uso a objetivos de stop valía».