Nieuwe Glutton-malware maakt gebruik van populaire PHP-frameworks zoals Laravel en ThinkPHP

Cybersecurity-onderzoekers hebben een nieuwe op PHP gebaseerde achterdeur ontdekt, genaamd Veelvraat die is gebruikt bij cyberaanvallen gericht op China, de Verenigde Staten, Cambodja, Pakistan en Zuid-Afrika.

QiAnXin XLab, dat de kwaadaardige activiteit eind april 2024 ontdekte, schreef de voorheen onbekende malware met matig vertrouwen toe aan de productieve Chinese natiestaatgroep Winnti (ook bekend als APT41).

“Interessant genoeg is uit ons onderzoek gebleken dat de makers van Glutton zich doelbewust richtten op systemen binnen de markt voor cybercriminaliteit”, aldus het bedrijf. “Door operaties te vergiftigen, probeerden ze de instrumenten van cybercriminelen tegen hen te keren – een klassiek ‘geen eer onder dieven’-scenario.”

Glutton is ontworpen om gevoelige systeeminformatie te verzamelen, een ELF-backdoor-component te verwijderen en code-injectie uit te voeren tegen populaire PHP-frameworks zoals Baota (BT), ThinkPHP, Yii en Laravel. De ELF-malware deelt ook “bijna volledige gelijkenis” met een bekende Winnti-tool bekend als PWNLNX.

Ondanks de banden met Winnti zei XLab dat het de achterdeur niet definitief met de tegenstander kan verbinden vanwege het gebrek aan stealth-technieken die doorgaans met de groep worden geassocieerd. Het cyberbeveiligingsbedrijf omschreef de tekortkomingen als ‘ongewoon ondermaats’.

Dit omvat het ontbreken van gecodeerde command-and-control (C2)-communicatie, het gebruik van HTTP (in plaats van HTTPS) voor het downloaden van de payloads, en het feit dat de samples vrij zijn van enige verwarring.

In de kern is Glutton een modulair malwareframework dat PHP-bestanden op doelapparaten kan infecteren en achterdeurtjes kan installeren. Er wordt aangenomen dat de initiële toegang wordt bereikt via de exploitatie van zero-day- en N-day-fouten en brute-force-aanvallen.

Een andere onconventionele aanpak is het adverteren op cybercriminaliteitsforums, waarin gecompromitteerde bedrijfshosts l0ader_shell bevatten, een achterdeur die in PHP-bestanden is geïnjecteerd, waardoor de operators effectief aanvallen op andere cybercriminelen kunnen uitvoeren.

De primaire module die de aanval mogelijk maakt is ’task_loader’, die wordt gebruikt om de uitvoeringsomgeving te beoordelen en aanvullende componenten op te halen, waaronder ‘init_task’, die verantwoordelijk is voor het downloaden van een op ELF gebaseerde achterdeur die zich voordoet als de FastCGI Process Manager (“/ lib/php-fpm”), infecteert PHP-bestanden met kwaadaardige code voor verdere uitvoering van de payload, en verzamelt gevoelige informatie en wijzigt systeembestanden.

De aanvalsketen omvat ook een module met de naam ‘client_loader’, een opnieuw opgebouwde versie van ‘init_task’, die gebruik maakt van een bijgewerkte netwerkinfrastructuur en de mogelijkheid biedt om een ​​backdoor-client te downloaden en uit te voeren. Het wijzigt systeembestanden zoals “/etc/init.d/network” om persistentie tot stand te brengen.

De PHP-backdoor is een volledig functionele backdoor die 22 unieke opdrachten ondersteunt waarmee hij C2-verbindingen tussen TCP en UDP kan schakelen, een shell kan starten, bestanden kan downloaden/uploaden, bestands- en mapbewerkingen kan uitvoeren en willekeurige PHP-code kan uitvoeren. Bovendien maakt het framework het mogelijk om meer PHP-payloads op te halen en uit te voeren door periodiek de C2-server te pollen.

“Deze payloads zijn zeer modulair en kunnen onafhankelijk functioneren of sequentieel worden uitgevoerd via task_loader om een ​​uitgebreid aanvalsraamwerk te vormen”, aldus XLab. “Alle code-uitvoering vindt plaats binnen PHP- of PHP-FPM (FastCGI)-processen, waardoor er geen bestandsladingen achterblijven, waardoor een onopvallende voetafdruk wordt bereikt.”

Een ander opmerkelijk aspect is het gebruik van de HackBrowserData-tool op systemen die door cybercriminaliteitsexploitanten worden gebruikt om gevoelige informatie te stelen met een waarschijnlijk doel om toekomstige phishing- of social engineering-campagnes te informeren.

“Naast het targeten van traditionele ‘whitehat’-slachtoffers via cybercriminaliteit, demonstreert Glutton een strategische focus op het exploiteren van exploitanten van cybercriminaliteit”, aldus XLab. “Dit creëert een recursieve aanvalsketen, waarbij de eigen activiteiten van de aanvallers tegen hen worden ingezet.”

De onthulling komt weken nadat XLab een bijgewerkte versie van de APT41-malware genaamd Mélofée heeft gedetailleerd, die verbeterde persistentiemechanismen toevoegt en “een RC4-gecodeerde kerneldriver insluit om sporen van bestanden, processen en netwerkverbindingen te maskeren.”

Eenmaal geïnstalleerd, is de Linux-backdoor uitgerust om te communiceren met een C2-server om verschillende opdrachten te ontvangen en uit te voeren, waaronder het verzamelen van apparaat- en procesinformatie, het starten van de shell, het beheren van processen, het uitvoeren van bestands- en mapbewerkingen en het verwijderen van zichzelf.

“Mélofée biedt eenvoudige functionaliteit met zeer effectieve stealth-mogelijkheden”, aldus het bedrijf. “Voorbeelden van deze malwarefamilie zijn zeldzaam, wat erop wijst dat aanvallers het gebruik ervan kunnen beperken tot waardevolle doelen.”

Thijs Van der Does