Dic 18, 2024 Marina Londei RSS 0

I ricercatori della compagnia di sicurezza XLab hanno scoperto Glutton, una backdoor in PHP che colpisce non solo aziende e organizzazioni, ma anche altri cybercriminali.

Il team di XLab ha individuato le prime attività della backdoor lo scorso aprile, scoprendo una serie di payload PHP malevoli altamente modulari, in grado di eseguire in maniera indipendente o integrandosi tra di loro. “Questa analisi ha portato alla scoperta di un’avanzata backdoor in PHP mai documentata prima che abbiamo chiamato Glutton per via della sua capacità di infettare numerosi file PHP e innestare l0ader_shell” spiegano i ricercatori.

La backdoor è in grado di esfiltrare informazioni quali la versione dell’OS e di PHP e i dati sensibili di Baota Panel. Glutton è inoltre in grado di installare una backdoor di Winnti ELF-based e altre backdoor in PHP, oltre che iniettare codice in framework PHP popolari come Baota, ThinkPHP, Yii e Laravel.

Analisi di Glutton

La backdoor è composta da numerosi componenti che, come anticipato, possono eseguire funzioni in autonomia o essere composte per creare un framework più complesso. “Questo design modulare non solo migliora l’adattabilità degli attacchi, ma lo rende anche più difficile da individuare e tacciare durante le attività di difesa” spiega il team di XLab.

Secondo i ricercatori di sicurezza, per distribuire il framework gli attaccanti sfruttano vulnerabilità dei sistemi, password ottenute da tecniche di brute-force e sfruttando sistemi già compromessi dell’ambiente cybercriminale.

Uno dei moduli più importanti è client_task: esso è in grado di eseguire una backdoor PHP ed eseguire periodicamente la funzione fetch_task per ottenere ed eseguire altri payload. Il modulo supporta 22 comandi diversi che comprendono funzioni per l’upload e il download di file, per creare, leggere o modificare file e per scansionare le cartelle dei metadati.

Un altro modulo centrale è il task_loader, la cui funzione primaria è di scaricare ed eseguire il payload specifico in base alle caratteristiche del sistema. A questo si aggiunge init_task, il modulo che scarica ed esegue la backdoor Winnti e infetta i pannelli Baota e i file PHP, e il client_loader, un modulo refattorizzato di init_task, il quale introduce la capacità di scaricare ed eseguire un client backdoored per la compatibilità cross-platform e l’evasione dei controlli degli antivirus.

Una backdoor colpisce anche i cybercriminali

Le vittime di Glutton si trovano principalmente in Cina e negli Stati Uniti e appartengono a settori quali i servizi IT, le business operation e le organizzazioni per la sicurezza sociale.

Ciò che stupisce è che la backdoor colpisce anche sistemi venduti nel mercato cybercriminale, con l’obiettivo di trasformare gli altri attaccanti in “pedine” da usare per i loro scopi. Secondo XLab, il team dietro Glutton userebbe la backdoor per sfruttare i sistemi cybercriminali e ottenere ancora più informazioni.

Nel dettaglio, il gruppo inietta la backdoor nei software venduti sui forum cybercriminali, solitamente false piattaforme di scommesse o di scambio di criptovalute. Una volta infettati questi sistemi, Glutton esegue il tool “HackBrowserData” per estrarre informazioni sensibili dai browser dei criminali stessi.

Anche se XLab ha confermato la veridicità della backdoor Winnti usata da Glutton, non è detto che il nuovo malware sia attribuibile al gruppo: la nuova backdoor è implementata in maniera molto semplificata e i meccanismi di offuscamento non sono robusti come quelli usati dal gruppo. “Mentre il meccanismo di distribuzione di Glutton è molto simile a quello del gruppo Winnti, manca di furtività e l’implementazione semplicistica introduce incertezza” spiegano i ricercatori. XLab attribuisce comunque con “moderata confidenza” il tool al gruppo cinese.

Per eliminare possibili infezioni di Glutton, il team di XLab consiglia di analizzare i file PHP per verificare la presenza di l0ader_shell, rimuovere i processi malevoli individuati e rafforzare la protezione delle cartelle temporanee creando un file .donot in /tmp per prevenire l’exploit.