Исследователи кибербезопасности из китайской компании, занимающейся кибербезопасностью, обнаружили усовершенствованный PHP-бэкдор, который указывает на наличие нового актива в арсенале связанной с Китаем группировки Winnti, занимающейся разработкой усовершенствованных постоянных угроз.
Исследователи из лаборатории QiAnXin XLab обнаружили бэкдор , названный ими Glutton, нацеленный на Китай, США, Камбоджу, Пакистан и Южную Африку. После первоначального обнаружения вредоносной программы в апреле этого года компания считает, что Glutton «более года оставался незамеченным в киберпространстве».
Glutton построен по модульному принципу, что позволяет ему работать, не оставляя традиционных цифровых следов. Весь код выполняется в PHP или с помощью функции, оптимизирующей обработку PHP-процессов на веб-серверах, известной как PHP-FPM (FastCGI). Это гарантирует отсутствие файловой нагрузки и незаметность бэкдора.
После развертывания Glutton может использоваться для кражи данных или внедрения вредоносного кода в широко используемые PHP-фреймворки, такие как Baota, ThinkPHP, Yii и Laravel.
Первые признаки, связанные с Glutton, появились в декабре 2023 года, когда исследователи отследили необычную активность, ведущую к IP-адресу, распространявшему бэкдор, нацеленный на Unix-подобные операционные системы, более известный как вредоносное ПО на базе ELF. Дальнейшее исследование выявило вредоносный PHP-файл в составе вредоносного ПО на базе ELF. Таким образом, исследователи раскрыли сеть связанных вредоносных PHP-файлов, выявив сложную инфраструктуру атак.
Исследователи XLab отметили, что вредоносная программа связана с исторической деятельностью группы Winnti. Однако исследователи отметили, что у неё есть «несколько недостатков в плане скрытности и реализации, которые кажутся нетипично неудовлетворительными» для этой APT-группы. Исследователи указали на наличие в ней незашифрованных PHP-образцов и упрощённых протоколов связи с командными серверами, которые обычно не свойственны Winnti. Кроме того, исследователи «с умеренной уверенностью» полагают, что Winnti ответственна за эту вредоносную программу.
Хотя исследователи XLab составили внушительный список стран, подвергшихся атаке, они заявили, что Winnti «намеренно выбрала в качестве мишени системы на рынке киберпреступности», чтобы распространить вредоносное ПО как можно шире.
«Отравляя операции, они стремились обратить инструменты киберпреступников против них самих — классический сценарий «нет чести у воров», — пишут исследователи XLab.
Использование инфраструктуры других злоумышленников стало постоянной темой в недавно опубликованных исследованиях. Microsoft опубликовала отчёты, в которых установлено, что Turla, APT-группа, связанная с Россией, использовала инфраструктуру, изначально созданную другими APT-группами или киберпреступниками, для проведения своих операций.
Winnti, также известная как APT41, давно связана с Китаем. В 2019 году компания Mandiant (тогда FireEye) опубликовала отчёт , в котором утверждалось, что группа осуществляла операции от имени китайского правительства, а также занималась киберпреступностью в качестве фрилансера. Исследователи обнаружили, что, помимо прочего, группа атаковала компании, занимающиеся онлайн-гемблингом в Китае , использовала уязвимости Microsoft Exchange для атак на отели и государственные учреждения по всему миру , а также скрывала использование своих инструментов RAT подставными компаниями .
С исследованием QiAnXin можно ознакомиться в блоге компании .
Исследователи из лаборатории QiAnXin XLab обнаружили бэкдор , названный ими Glutton, нацеленный на Китай, США, Камбоджу, Пакистан и Южную Африку. После первоначального обнаружения вредоносной программы в апреле этого года компания считает, что Glutton «более года оставался незамеченным в киберпространстве».
Glutton построен по модульному принципу, что позволяет ему работать, не оставляя традиционных цифровых следов. Весь код выполняется в PHP или с помощью функции, оптимизирующей обработку PHP-процессов на веб-серверах, известной как PHP-FPM (FastCGI). Это гарантирует отсутствие файловой нагрузки и незаметность бэкдора.
После развертывания Glutton может использоваться для кражи данных или внедрения вредоносного кода в широко используемые PHP-фреймворки, такие как Baota, ThinkPHP, Yii и Laravel.
Первые признаки, связанные с Glutton, появились в декабре 2023 года, когда исследователи отследили необычную активность, ведущую к IP-адресу, распространявшему бэкдор, нацеленный на Unix-подобные операционные системы, более известный как вредоносное ПО на базе ELF. Дальнейшее исследование выявило вредоносный PHP-файл в составе вредоносного ПО на базе ELF. Таким образом, исследователи раскрыли сеть связанных вредоносных PHP-файлов, выявив сложную инфраструктуру атак.
Исследователи XLab отметили, что вредоносная программа связана с исторической деятельностью группы Winnti. Однако исследователи отметили, что у неё есть «несколько недостатков в плане скрытности и реализации, которые кажутся нетипично неудовлетворительными» для этой APT-группы. Исследователи указали на наличие в ней незашифрованных PHP-образцов и упрощённых протоколов связи с командными серверами, которые обычно не свойственны Winnti. Кроме того, исследователи «с умеренной уверенностью» полагают, что Winnti ответственна за эту вредоносную программу.
Хотя исследователи XLab составили внушительный список стран, подвергшихся атаке, они заявили, что Winnti «намеренно выбрала в качестве мишени системы на рынке киберпреступности», чтобы распространить вредоносное ПО как можно шире.
«Отравляя операции, они стремились обратить инструменты киберпреступников против них самих — классический сценарий «нет чести у воров», — пишут исследователи XLab.
Использование инфраструктуры других злоумышленников стало постоянной темой в недавно опубликованных исследованиях. Microsoft опубликовала отчёты, в которых установлено, что Turla, APT-группа, связанная с Россией, использовала инфраструктуру, изначально созданную другими APT-группами или киберпреступниками, для проведения своих операций.
Winnti, также известная как APT41, давно связана с Китаем. В 2019 году компания Mandiant (тогда FireEye) опубликовала отчёт , в котором утверждалось, что группа осуществляла операции от имени китайского правительства, а также занималась киберпреступностью в качестве фрилансера. Исследователи обнаружили, что, помимо прочего, группа атаковала компании, занимающиеся онлайн-гемблингом в Китае , использовала уязвимости Microsoft Exchange для атак на отели и государственные учреждения по всему миру , а также скрывала использование своих инструментов RAT подставными компаниями .
С исследованием QiAnXin можно ознакомиться в блоге компании .
