Ciberseguridad 360 | El nuevo malware Glutton explota frameworks Laravel y ThinkPHP

Investigadores de ciberseguridad han descubierto una nueva puerta trasera basada en PHP llamada Glutton que se ha utilizado en ataques cibern�ticos dirigidos a China, Estados Unidos, Camboya, Pakist�n y Sud�frica.

QiAnXin XLab, que descubri� la actividad maliciosa a fines de abril de 2024, atribuy� el malware previamente desconocido con moderada confianza al prol�fico grupo estatal-naci�n chino rastreado por Winnti (tambi�n conocido como APT41).

"Curiosamente, nuestra investigaci�n revel� que los creadores de Glutton atacaron deliberadamente sistemas dentro del mercado de delitos inform�ticos", afirm� la empresa . "Al envenenar las operaciones, pretend�an utilizar las herramientas de los cibercriminales en su contra, un escenario cl�sico de 'no hay honor entre ladrones'".

Glutton est� dise�ado para recolectar informaci�n confidencial del sistema, colocar un componente de puerta trasera ELF y realizar una inyecci�n de c�digo contra frameworks PHP populares como Baota (BT), ThinkPHP, Yii y Laravel. El malware ELF tambi�n comparte una "similitud casi total" con una herramienta Winnti conocida como PWNLNX .

A pesar de los v�nculos con Winnti, XLab afirm� que no puede vincular definitivamente la puerta trasera con el adversario debido a la falta de t�cnicas de sigilo t�picamente asociadas con el grupo. La empresa de ciberseguridad describi� las deficiencias como "anormalmente mediocres".

Esto incluye la falta de comunicaciones cifradas de comando y control (C2), el uso de HTTP (en lugar de HTTPS) para descargar las cargas �tiles y el hecho de que las muestras est�n libres de cualquier ofuscaci�n.

En esencia, Glutton es un marco de malware modular capaz de infectar archivos PHP en dispositivos de destino, as� como de instalar puertas traseras. Se cree que el acceso inicial se logra mediante la explotaci�n de fallas de d�a cero y d�a N y ataques de fuerza bruta.

Otro enfoque poco convencional implica anunciar en foros sobre delitos cibern�ticos hosts empresariales comprometidos que contienen l0ader_shell, una puerta trasera inyectada en archivos PHP, lo que permite a los operadores montar ataques contra otros cibercriminales.

El m�dulo principal que permite el ataque es "task_loader", que se utiliza para evaluar el entorno de ejecuci�n y obtener componentes adicionales, incluido "init_task", que es responsable de descargar una puerta trasera basada en ELF que se hace pasar por FastCGI Process Manager ("/lib/php-fpm"), infectando archivos PHP con c�digo malicioso para una mayor ejecuci�n de la carga �til y recopilando informaci�n confidencial y modificando archivos del sistema.

La cadena de ataque tambi�n incluye un m�dulo llamado "client_loader", una versi�n refactorizada de "init_task", que utiliza una infraestructura de red actualizada e incorpora la capacidad de descargar y ejecutar un cliente con puerta trasera. Modifica archivos de sistemas como "/etc/init.d/network" para establecer la persistencia.

El backdoor PHP es un backdoor con todas las funciones que admite 22 comandos �nicos que le permiten cambiar conexiones C2 entre TCP y UDP, iniciar un shell, descargar/cargar archivos, realizar operaciones con archivos y directorios y ejecutar c�digo PHP arbitrario. Adem�s, el framework permite obtener y ejecutar m�s cargas �tiles PHP al sondear peri�dicamente el servidor C2.

"Estas cargas �tiles son altamente modulares, capaces de funcionar de forma independiente o de ejecutarse secuencialmente a trav�s de task_loader para formar un marco de ataque integral", dijo XLab. "Toda la ejecuci�n del c�digo se produce dentro de los procesos PHP o PHP-FPM (FastCGI), lo que garantiza que no se deje ninguna carga �til de archivo atr�s, logrando as� una huella sigilosa".

Otro aspecto notable es el uso de la herramienta HackBrowserData en sistemas utilizados por operadores de delitos cibern�ticos para robar informaci�n confidencial con el probable objetivo de informar futuras campa�as de phishing o ingenier�a social.

"Adem�s de atacar a las v�ctimas tradicionales de los cibercriminales, Glutton demuestra un enfoque estrat�gico en la explotaci�n de los recursos de los operadores de cibercrimen", afirm� XLab. "Esto crea una cadena de ataques recursivos, aprovechando las propias actividades de los atacantes en su contra".

La revelaci�n se produce semanas despu�s de que XLab detallara una versi�n actualizada del malware APT41 llamado M�lof�e que agrega mecanismos de persistencia mejorados e "incorpora un controlador de kernel cifrado RC4 para enmascarar rastros de archivos, procesos y conexiones de red".

Una vez instalada, la puerta trasera de Linux est� equipada para comunicarse con un servidor C2 para recibir y ejecutar varios comandos, incluida la recopilaci�n de informaci�n del dispositivo y del proceso, el lanzamiento del shell, la gesti�n de procesos, la realizaci�n de operaciones de archivos y directorios y la desinstalaci�n.

"M�lof�e ofrece una funcionalidad sencilla con capacidades de ocultaci�n muy eficaces", afirm� . "Las muestras de esta familia de malware son escasas, lo que sugiere que los atacantes pueden limitar su uso a objetivos de alto valor".

Fuente: thehackernews