Hackers de Winnti atacan a otros hackers con la nueva puerta trasera PHP Glutton

Iniciado por AXCESS, Diciembre 16, 2024, 04:31:47 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 16, 2024, 04:31:47 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo de hackers chino Winnti está utilizando una nueva puerta trasera PHP llamada 'Glutton' en ataques a organizaciones en China y Estados Unidos, y también en ataques a otros cibercriminales.

XLab, de la empresa de seguridad china QAX, descubrió el nuevo malware PHP a fines de abril de 2024, pero la evidencia de su implementación, junto con otros archivos, se remonta a diciembre de 2023.

XLab comenta que, si bien Glutton es una puerta trasera avanzada, tiene debilidades notables en sigilo y cifrado, lo que podría ser una indicación de que se encuentra en una fase temprana de desarrollo.

Winnti, también conocido como APT41, es un conocido grupo de piratas informáticos patrocinado por el Estado chino, conocido por sus campañas de ciberespionaje y robo financiero.

Desde su aparición en escena en 2012, el grupo ha atacado a organizaciones de los sectores de los videojuegos, los productos farmacéuticos y las telecomunicaciones, así como a organizaciones políticas y agencias gubernamentales.

Nueva puerta trasera Glutton

Glutton es una puerta trasera modular basada en ELF que proporciona flexibilidad y sigilo a los hackers de Winnti, permitiéndoles activar componentes específicos para ataques personalizados.

Sus componentes principales son 'task_loader', que determina el entorno; 'init_task', que instala la puerta trasera; 'client_loader', que introduce la ofuscación; y 'client_task', que opera la puerta trasera PHP y se comunica con el servidor de comando y control (C2).

"Estas cargas útiles son altamente modulares, capaces de funcionar de forma independiente o ejecutarse secuencialmente a través de task_loader para formar un marco de ataque integral", explica XLab.

"Toda la ejecución del código se produce dentro de los procesos PHP o PHP-FPM (FastCGI), lo que garantiza que no se dejen cargas útiles de archivos atrás, logrando así una huella sigilosa".

La puerta trasera, que se hace pasar por un proceso 'php-fpm', facilita la ejecución sin archivos mediante la ejecución dinámica en memoria e inyecta código malicioso ('l0ader_shell') en archivos PHP en los frameworks ThinkPHP, Yii, Laravel y Dedecms.

Glutton modifica archivos del sistema como '/etc/init.d/network' para establecer la persi
stencia entre reinicios y también puede modificar los archivos del panel Baota para mantener el control y robar credenciales y configuraciones.

Además de Baota, el malware también puede exfiltrar información y datos del sistema de archivos.

Descripción general de la campaña Glutton de Winnti
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Glutton admite 22 comandos recibidos desde el servidor C2, que ordenan las siguientes acciones:

Crear, leer, escribir, eliminar y modificar archivos

Ejecutar comandos de shell

Evaluar código PHP

Analizar directorios del sistema

Recuperar metadatos del host

Cambiar entre conexiones TCP y UDP

Actualizar la configuración de C2

Otros cibercriminales en la mira

XLab afirma que Winnti ha implementado Glutton en objetivos de China y Estados Unidos, principalmente en servicios de TI, agencias de seguridad social y desarrolladores de aplicaciones web.

La inyección de código se utiliza contra los populares frameworks PHP utilizados para el desarrollo web, que se encuentran comúnmente en aplicaciones críticas para el negocio, como ThinkPHP, Yii, Laravel y Dedecms.

El panel web Baota, una popular herramienta de gestión de servidores en China, también es el objetivo, ya que se utiliza habitualmente para gestionar datos confidenciales, incluidas las bases de datos MySQL.

Los actores de amenazas también están utilizando activamente Glutton para cazar activamente a otros piratas informáticos, integrándolo dentro de paquetes de software vendidos en foros de delitos cibernéticos como Timibbs. Estos paquetes de software troyanizados se hacen pasar por sistemas de juegos y apuestas, intercambios de criptomonedas falsos y plataformas de click-farming.

Una vez que los sistemas de los ciberdelincuentes están infectados, Glutton implementa la herramienta 'HackBrowserData' para extraer información confidencial de los navegadores web, como contraseñas, cookies, tarjetas de crédito, historial de descargas e historial de navegación.

"Nuestra hipótesis es que HackBrowserData se implementó como parte de una estrategia de 'negro se come a negro'", explica XLabs.

"Cuando los cibercriminales intentan depurar o modificar localmente los sistemas empresariales con puertas traseras, los operadores de Glutton implementan HackBrowserData para robar información confidencial de alto valor de los propios cibercriminales. Esto crea una cadena de ataques recursivos, que aprovecha las propias actividades de los atacantes en su contra".

XLabs compartió indicadores de vulneración relacionados con esta campaña de Winnti, que ha estado en marcha durante más de un año. Sin embargo, el vector de acceso inicial sigue siendo desconocido.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario