Le groupe de piratage chinois Winnti utilise une nouvelle porte dérobée PHP nommée « Glutton » dans des attaques contre des organisations en Chine et aux États – Unis, ainsi que dans des attaques contre d’autres cybercriminels.
XLab de la société de sécurité chinoise QAX a découvert le nouveau malware PHP fin avril 2024, mais les preuves de son déploiement, ainsi que d’autres fichiers, remontent à décembre 2023.
XLab commente que, bien que Glutton soit une porte dérobée avancée, il présente des faiblesses notables en matière de furtivité et de cryptage, ce qui pourrait indiquer qu’il en est à ses débuts dans la phase de développement.
Winnti, également connu sous le nom d’APT41, est un groupe de piratage notoire parrainé par l’État chinois connu pour ses campagnes de cyberespionnage et de vol financier.
Depuis son apparition sur la scène en 2012, le groupe a ciblé des organisations des secteurs des jeux, des produits pharmaceutiques et des télécommunications, tout en s’attaquant également à des organisations politiques et à des agences gouvernementales.
Nouvelle porte dérobée Glouton
Glutton est une porte dérobée modulaire basée sur ELF qui offre flexibilité et discrétion aux pirates Winnti, leur permettant d’activer des composants spécifiques pour des attaques sur mesure.
Ses composants principaux sont ‘task_loader’, qui détermine l’environnement; ‘init_task’, qui installe la porte dérobée; ‘client_loader’, qui introduit l’obscurcissement; et ‘client_task’, qui exploite la porte dérobée PHP et communique avec le serveur de commande et de contrôle (C2).
« Ces charges utiles sont hautement modulaires, capables de fonctionner indépendamment ou d’être exécutées séquentiellement via task_loader pour former un cadre d’attaque complet », explique XLab.
« Toute l’exécution de code se produit dans les processus PHP ou PHP-FPM (FastCGI), garantissant qu’aucune charge utile de fichier n’est laissée pour compte, obtenant ainsi une empreinte furtive. »
La porte dérobée, qui se fait passer pour un processus ‘php-fpm’, facilite l’exécution sans fichier par une exécution dynamique en mémoire et injecte du code malveillant (‘l0ader_shell’) dans les fichiers PHP sur les frameworks ThinkPHP, Yii, Laravel et Dedecms.
Glutton modifie les fichiers système comme ‘/etc / init.d / network ‘ pour établir la persistance entre les redémarrages et peut également modifier les fichiers du panneau Baota pour maintenir l’ancrage et voler les informations d’identification et les configurations.
Outre Baota, le logiciel malveillant peut également exfiltrer des informations système et des données du système de fichiers.
Glutton supporte 22 commandes reçues du serveur C2, qui commandent les actions suivantes:
- Créer, lire, écrire, supprimer et modifier des fichiers
- Exécuter des commandes shell
- Évaluer le code PHP
- Analyser les répertoires système
- Récupérer les métadonnées de l’hôte
- Basculer entre les connexions TCP et UDP
- Mettre à jour la configuration C2
Cibler d’autres cybercriminels
XLab affirme que Winnti a déployé Glutton sur des cibles en Chine et aux États-Unis, ciblant principalement les services informatiques, les agences de sécurité sociale et les développeurs d’applications Web.
L’injection de code est utilisée contre les frameworks PHP populaires utilisés pour le développement Web, que l’on trouve couramment dans les applications critiques pour l’entreprise, notamment ThinkPHP, Yii, Laravel et Dedecms.
Le panneau Web Baota, un outil de gestion de serveur populaire en Chine, est également ciblé car il est couramment utilisé pour gérer des données sensibles, y compris les bases de données MySQL.
Les acteurs de la menace utilisent également activement Glutton pour chasser activement d’autres pirates informatiques, en l’intégrant dans des progiciels vendus sur des forums de cybercriminalité comme Timibbs. Ces logiciels chevaux de Troie se font passer pour des systèmes de jeu et de jeu, de faux échanges de crypto-monnaie et des plates-formes de click-farming.
Une fois les systèmes des cybercriminels infectés, Glutton déploie l’outil « HackBrowserData » pour extraire des informations sensibles des navigateurs Web, telles que les mots de passe, les cookies, les cartes de crédit, l’historique des téléchargements et l’historique de navigation.
« Nous émettons l’hypothèse que HackBrowserData a été déployé dans le cadre d’une stratégie » black eats black » », explique XLabs.
« Lorsque des cybercriminels tentent de déboguer ou de modifier localement des systèmes d’entreprise backdoorés, les opérateurs de Glutton déploient HackBrowserData pour voler des informations sensibles de grande valeur aux cybercriminels eux-mêmes. Cela crée une chaîne d’attaques récursive, tirant parti des propres activités des attaquants contre eux. »
XLabs a partagé des indicateurs de compromis liés à cette campagne Winnti, en cours depuis plus d’un an. Cependant, le vecteur d’accès initial reste inconnu.