تستخدم مجموعة القرصنة الصينية Winnti بابًا خلفيًا جديدًا لـ PHP يسمى “Glutton” في الهجمات على المؤسسات في الصين والولايات المتحدة، وكذلك في الهجمات على مجرمي الإنترنت الآخرين.
اكتشف XLab التابع لشركة الأمن الصينية QAX برنامج PHP الضار الجديد في أواخر أبريل 2024، لكن الدليل على نشره، إلى جانب الملفات الأخرى، يعود إلى ديسمبر 2023.
يعلق XLab أنه على الرغم من أن Glutton عبارة عن باب خلفي متقدم، إلا أنه يحتوي على نقاط ضعف ملحوظة في التخفي والتشفير، وهو ما قد يكون مؤشرًا على أنه في مرحلة تطوير مبكرة.
Winnti، والمعروفة أيضًا باسم APT41، هي مجموعة قرصنة صينية سيئة السمعة ترعاها الدولة ومعروفة بحملات التجسس الإلكتروني والسرقة المالية.
منذ ظهورها على الساحة في عام 2012، استهدفت المجموعة منظمات في صناعات الألعاب والأدوية والاتصالات، بينما هاجمت أيضًا المنظمات السياسية والوكالات الحكومية.
باب خلفي جديد للنهم
Glutton هو باب خلفي معياري قائم على ELF يوفر المرونة والتخفي لمتسللي Winnti، مما يسمح لهم بتنشيط مكونات محددة لهجمات مخصصة.
مكوناته الأساسية هي “task_loader”، الذي يحدد البيئة؛ “init_task”، الذي يقوم بتثبيت الباب الخلفي؛ “client_loader” الذي يسبب التشويش؛ و’client_task’، الذي يقوم بتشغيل الباب الخلفي لـ PHP ويتواصل مع خادم الأوامر والتحكم (C2).
“These payloads are highly modular, capable of functioning independently or being executed sequentially via task_loader to form a comprehensive attack framework,” يشرح XLab.
“All code execution occurs within PHP or PHP-FPM (FastCGI) processes, ensuring no file payloads are left behind, thus achieving a stealthy footprint.”
يسهل الباب الخلفي، الذي يتنكر في شكل عملية ‘php-fpm’، التنفيذ بدون ملفات عن طريق التنفيذ الديناميكي في الذاكرة ويحقن تعليمات برمجية ضارة (‘l0ader_shell’) في ملفات PHP على أطر عمل ThinkPHP وYii وLaravel وDedecms.
يقوم Glutton بتعديل ملفات النظام مثل “/etc/init.d/network” لتأسيس الثبات بين عمليات إعادة التشغيل ويمكنه أيضًا تعديل ملفات لوحة Baota للحفاظ على موطئ قدم وسرقة بيانات الاعتماد والتكوينات.
وبصرف النظر عن Baota، يمكن للبرامج الضارة أيضًا استخراج معلومات وبيانات النظام من نظام الملفات.
المصدر: XLab
يدعم Glutton 22 أمرًا مستلمًا من خادم C2، والتي تأمر بالإجراءات التالية:
- إنشاء الملفات وقراءتها وكتابتها وحذفها وتعديلها
- تنفيذ أوامر الصدفة
- تقييم كود PHP
- مسح أدلة النظام
- استرداد البيانات التعريفية للمضيف
- التبديل بين اتصالات TCP وUDP
- قم بتحديث تكوين C2
استهداف مجرمي الإنترنت الآخرين
يقول XLab إن Winnti قامت بنشر Glutton على أهداف في الصين والولايات المتحدة الأمريكية، مستهدفة في المقام الأول خدمات تكنولوجيا المعلومات ووكالات الضمان الاجتماعي ومطوري تطبيقات الويب.
المصدر: XLab
يتم استخدام حقن التعليمات البرمجية في مواجهة أطر عمل PHP الشائعة المستخدمة في تطوير الويب، والموجودة بشكل شائع في التطبيقات المهمة للأعمال، بما في ذلك ThinkPHP وYii وLaravel وDedecms.
كما تم استهداف لوحة الويب Baota، وهي أداة شائعة لإدارة الخادم في الصين، لأنها تُستخدم بشكل شائع لإدارة البيانات الحساسة، بما في ذلك قواعد بيانات MySQL.
تستخدم الجهات الفاعلة في مجال التهديد أيضًا Glutton بنشاط لمطاردة المتسللين الآخرين، ودمجها داخل حزم البرامج المباعة في منتديات الجرائم الإلكترونية مثل Timibbs. تنتحل حزم البرامج المصابة بفيروس طروادة هذه صفة أنظمة المقامرة والألعاب، وعمليات تبادل العملات المشفرة المزيفة، ومنصات زراعة النقرات.
بمجرد إصابة أنظمة مجرمي الإنترنت، تنشر Glutton أداة “HackBrowserData” لاستخراج المعلومات الحساسة من متصفحات الويب، مثل كلمات المرور وملفات تعريف الارتباط وبطاقات الائتمان وسجل التنزيل وسجل التصفح.
“We hypothesize that HackBrowserData was deployed as part of a “الأسود يأكل الأسود” strategy,” يشرح XLabs.
“When cybercriminals attempt to locally debug or modify backdoored business systems, Glutton’s operators deploy HackBrowserData to steal high-value sensitive information from the cybercriminals themselves. This creates a recursive attack chain, leveraging the attackers’ own activities against them.”
شاركت XLabs مؤشرات التسوية المتعلقة بحملة Winnti هذه، والتي كانت جارية منذ أكثر من عام. ومع ذلك، يظل ناقل الوصول الأولي غير معروف.