Os pesquisadores de cibersegurança descobriram um novo backdoor baseado em PHP chamado Glutton, que tem sido utilizado em ataques cibernéticos visando a China, os Estados Unidos, o Camboja, o Paquistão e a África do Sul.
O QiAnXin XLab, que descobriu a atividade maliciosa no final de abril de 2024, atribuiu com moderada confiança o malware anteriormente desconhecido ao grupo de nação-estado chinês prolífico rastreado como Winnti (conhecido também como APT41).
"Curiosamente, nossa investigação revelou que os criadores do Glutton visaram deliberadamente sistemas dentro do mercado de cibercrime", disse a empresa.
Ao envenenar operações, eles visavam virar as ferramentas dos cibercriminosos contra eles mesmos – um clássico cenário de 'não há honra entre ladrões'.
Glutton é projetado para colher informações sensíveis do sistema, implantar um componente de backdoor ELF e realizar injeção de código contra frameworks PHP populares como Baota (BT), ThinkPHP, Yii e Laravel.
O malware ELF também compartilha uma "similaridade quase completa" com uma ferramenta Winnti conhecida como PWNLNX.
Apesar das ligações com a Winnti, o XLab disse que não pode vincular definitivamente o backdoor ao adversário devido à falta de técnicas de furtividade tipicamente associadas ao grupo.
A empresa de cibersegurança descreveu as deficiências como "abaixo do esperado".
Isso inclui a falta de comunicações criptografadas de comando e controle (C2), o uso de HTTP (em vez de HTTPS) para baixar as cargas úteis, e o fato de que as amostras estão desprovidas de qualquer ofuscação.
No seu cerne, Glutton é um framework de malware modular capaz de infectar arquivos PHP em dispositivos alvo, bem como plantar backdoors.
Acredita-se que o acesso inicial é alcançado através da exploração de falhas zero-day e N-day e ataques de força bruta.
Outra abordagem não convencional envolve a publicidade em fóruns de cibercrime de hosts empresariais comprometidos contendo l0ader_shell, um backdoor injetado em arquivos PHP, permitindo efetivamente que os operadores lancem ataques contra outros cibercriminosos.
O módulo principal que possibilita o ataque é o "task_loader", que é usado para avaliar o ambiente de execução e buscar componentes adicionais, incluindo "init_task", que é responsável por baixar um backdoor baseado em ELF que se disfarça como o Gerenciador de Processos FastCGI ("/lib/php-fpm"), infectando arquivos PHP com código malicioso para a execução de payloads adicionais e coletando informações sensíveis e modificando arquivos do sistema.
A cadeia de ataque também inclui um módulo chamado "client_loader", uma versão refatorada de "init_task", que utiliza uma infraestrutura de rede atualizada e incorpora a capacidade de baixar e executar um cliente com backdoor.
Ele modifica arquivos de sistemas como "/etc/init.d/network" para estabelecer persistência.
O backdoor PHP é um backdoor completamente funcional que suporta 22 comandos únicos que permitem alternar conexões C2 entre TCP e UDP, lançar um shell, baixar/upload de arquivos, realizar operações de arquivo e diretório, e executar código PHP arbitrário.
Além disso, o framework possibilita buscar e executar mais payloads PHP periodicamente consultando o servidor C2.
"Esses payloads são altamente modulares, capazes de funcionar independentemente ou serem executadas sequencialmente via task_loader para formar um framework de ataque compreensivo", disse o XLab.
Toda execução de código ocorre dentro dos processos PHP ou PHP-FPM (FastCGI), garantindo que nenhum payload de arquivo seja deixada para trás, assim alcançando uma pegada furtiva.
Outro aspecto notável é o uso da ferramenta HackBrowserData em sistemas usados por operadores de cibercrime para roubar informações sensíveis com o provável objetivo de informar futuras campanhas de phishing ou engenharia social.
"Além de visar as tradicionais vítimas 'chapéu branco' através do cibercrime, Glutton demonstra um foco estratégico em explorar recursos de operadores de cibercrime", disse o XLab.
Isso cria uma cadeia de ataque recursiva, aproveitando as próprias atividades dos atacantes contra eles.
A divulgação vem semanas após o XLab detalhar uma versão atualizada do malware APT41 chamada Mélofée que adiciona mecanismos de persistência aprimorados e "incorpora um driver de kernel criptografado com RC4 para mascarar vestígios de arquivos, processos e conexões de rede."
Uma vez instalado, o backdoor Linux está equipado para se comunicar com um servidor C2 para receber e executar vários comandos, incluindo coletar informações de dispositivo e processo, lançar shell, gerenciar processos, realizar operações de arquivo e diretório, e desinstalar-se.
"Melofee oferece funcionalidades diretas com capacidades de furtividade altamente eficazes", disse.
Amostras desta família de malware são raras, sugerindo que os atacantes podem limitar seu uso a alvos de alto valor.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...