Cybersecurity-Forscher haben eine neue PHP-basierte Backdoor namens Vielfraß die bei Cyberangriffen auf China, die Vereinigten Staaten, Kambodscha, Pakistan und Südafrika zum Einsatz kam.
QiAnXin XLab, das die bösartigen Aktivitäten Ende April 2024 entdeckte, schrieb die bisher unbekannte Malware mit mäßiger Sicherheit der chinesischen Gruppe Winnti (alias APT41) zu.
"Interessanterweise hat unsere Untersuchung ergeben, dass die Schöpfer von Glutton absichtlich Systeme auf dem Cybercrime-Markt ins Visier genommen haben", so das Unternehmen. "Durch die Vergiftung von Operationen wollten sie die Werkzeuge der Cyberkriminellen gegen sie wenden - ein klassisches Szenario nach dem Motto 'keine Ehre unter Dieben'."
Glutton wurde entwickelt, um sensible Systeminformationen abzufangen, eine ELF-Backdoor-Komponente einzuschleusen und Code in beliebte PHP-Frameworks wie Baota (BT), ThinkPHP, Yii und Laravel einzuschleusen. Die ELF-Malware weist auch eine "nahezu vollständige Ähnlichkeit" mit einem bekannten Winnti-Tool namens PWNLNX auf.
Trotz der Verbindungen zu Winnti kann XLab nach eigenen Angaben die Hintertür nicht eindeutig mit dem Gegner in Verbindung bringen, da es an den für die Gruppe typischen Tarntechniken mangelt. Das Cybersicherheitsunternehmen bezeichnete die Mängel als "uncharakteristisch unzureichend".
Dazu gehören das Fehlen einer verschlüsselten Befehls- und Kontrollkommunikation (C2), die Verwendung von HTTP (anstelle von HTTPS) zum Herunterladen der Nutzdaten und die Tatsache, dass die Beispiele keinerlei Verschleierung enthalten.
Im Kern ist Glutton ein modulares Malware-Framework, das in der Lage ist, PHP-Dateien auf Zielgeräten zu infizieren und Hintertüren einzubauen. Es wird vermutet, dass der erste Zugriff über die Ausnutzung von Zero-Day- und N-Day-Schwachstellen sowie Brute-Force-Angriffe erfolgt.
Ein weiterer unkonventioneller Ansatz besteht darin, in Cybercrime-Foren Werbung für kompromittierte Unternehmenshosts zu machen, die l0ader_shell enthalten, eine Backdoor, die in PHP-Dateien eingeschleust wird und es den Betreibern ermöglicht, Angriffe auf andere Cyberkriminelle durchzuführen.
Das primäre Modul, das den Angriff ermöglicht, ist "task_loader", das verwendet wird, um die Ausführungsumgebung zu bewerten und zusätzliche Komponenten zu holen, einschließlich "init_task", das für das Herunterladen einer ELF-basierten Backdoor verantwortlich ist, die sich als FastCGI Process Manager ("/lib/php-fpm") tarnt, PHP-Dateien mit bösartigem Code für die weitere Ausführung von Nutzdaten infiziert sowie sensible Informationen sammelt und Systemdateien verändert.
Die Angriffskette umfasst auch ein Modul namens "client_loader", eine überarbeitete Version von "init_task", das eine aktualisierte Netzwerkinfrastruktur nutzt und die Fähigkeit zum Herunterladen und Ausführen eines Backdoored-Clients beinhaltet. Es modifiziert Systemdateien wie "/etc/init.d/network", um die Persistenz herzustellen.
Die PHP-Backdoor ist eine Backdoor mit vollem Funktionsumfang, die 22 einzigartige Befehle unterstützt, die es ihr ermöglichen, C2-Verbindungen zwischen TCP und UDP umzuschalten, eine Shell zu starten, Dateien herunter- und hochzuladen, Datei- und Verzeichnisoperationen durchzuführen und beliebigen PHP-Code auszuführen. Darüber hinaus ermöglicht das Framework das Abrufen und Ausführen weiterer PHP-Nutzdaten durch regelmäßige Abfragen des C2-Servers.
"Diese Payloads sind hochgradig modular und können unabhängig voneinander funktionieren oder nacheinander über task_loader ausgeführt werden, um ein umfassendes Angriffs-Framework zu bilden", so XLab. "Die gesamte Code-Ausführung erfolgt innerhalb von PHP- oder PHP-FPM (FastCGI)-Prozessen, wodurch sichergestellt wird, dass keine Datei-Payloads zurückbleiben und somit ein unauffälliger Fußabdruck entsteht.
Ein weiterer bemerkenswerter Aspekt ist die Verwendung des HackBrowserData-Tools auf Systemen, die von Cyberkriminellen genutzt werden, um vertrauliche Informationen zu stehlen, die wahrscheinlich für künftige Phishing- oder Social-Engineering-Kampagnen genutzt werden.
"Glutton zielt nicht nur auf die traditionellen Opfer von Cyberkriminalität ab, sondern legt auch einen strategischen Schwerpunkt auf die Ausnutzung der Ressourcen von Cyberkriminellen", so XLab. "So entsteht eine rekursive Angriffskette, die die eigenen Aktivitäten der Angreifer gegen sie ausspielt."
Die Enthüllung kommt Wochen, nachdem das Unternehmen mit Hauptsitz in Peking eine aktualisierte Version der APT41-Malware namens Mélofée vorgestellt hat, die verbesserte Persistenzmechanismen enthält und "einen RC4-verschlüsselten Kernel-Treiber einbettet, um Spuren von Dateien, Prozessen und Netzwerkverbindungen zu verbergen".
Nach der Installation ist die Linux-Backdoor in der Lage, mit einem C2-Server zu kommunizieren, um verschiedene Befehle zu empfangen und auszuführen, darunter das Sammeln von Geräte- und Prozessinformationen, das Starten der Shell, das Verwalten von Prozessen, das Ausführen von Datei- und Verzeichnisoperationen und das Deinstallieren des Systems.
"Mélofée bietet eine einfache Funktionalität mit hocheffektiven Tarnfunktionen", so der Bericht. "Samples dieser Malware-Familie sind selten, was darauf hindeutet, dass Angreifer sie möglicherweise nur für hochwertige Ziele einsetzen.
