Siber güvenlik araştırmacıları PHP tabanlı yeni bir arka kapı keşfettiler. Obur Çin, ABD, Kamboçya, Pakistan ve Güney Afrika’yı hedef alan siber saldırılarda kullanıldı.
Kötü amaçlı aktiviteyi Nisan 2024’ün sonlarında keşfeden QiAnXin XLab, daha önce bilinmeyen kötü amaçlı yazılımı makul bir güvenle Winnti’yi (diğer adıyla APT41) takip eden üretken Çin ulus devlet grubuna bağladı.
Şirket, “İlginç bir şekilde, araştırmamız Glutton’un yaratıcılarının siber suç pazarındaki sistemleri kasten hedef aldığını ortaya çıkardı” dedi. “Operasyonları zehirleyerek, siber suçluların araçlarını kendilerine karşı kullanmayı amaçladılar; bu klasik bir ‘hırsızlar arasında şeref yok’ senaryosu.”
Glutton, hassas sistem bilgilerini toplamak, bir ELF arka kapı bileşenini bırakmak ve Baota (BT), ThinkPHP, Yii ve Laravel gibi popüler PHP çerçevelerine karşı kod enjeksiyonu gerçekleştirmek için tasarlanmıştır. ELF kötü amaçlı yazılımı ayrıca PWNLNX olarak bilinen bilinen bir Winnti aracıyla “neredeyse tamamen benzerlik” paylaşıyor.
Winnti ile olan bağlantılarına rağmen XLab, grupla tipik olarak ilişkilendirilen gizlilik tekniklerinin eksikliği nedeniyle arka kapıyı kesinlikle düşmana bağlayamayacağını söyledi. Siber güvenlik şirketi, eksiklikleri “alışılmışın dışında vasat” olarak nitelendirdi.
Bu, şifrelenmiş komut ve kontrol (C2) iletişiminin eksikliğini, yüklerin indirilmesi için HTTP’nin (HTTPS yerine) kullanılmasını ve örneklerin herhangi bir gizleme içermemesini içerir.
Glutton, özünde, hedef cihazlardaki PHP dosyalarına ve ayrıca tesis arka kapılarına bulaşabilen modüler bir kötü amaçlı yazılım çerçevesidir. İlk erişimin sıfır gün ve N gün kusurlarından ve kaba kuvvet saldırılarından yararlanılarak sağlandığına inanılıyor.
Bir başka alışılmamış yaklaşım ise, PHP dosyalarına enjekte edilen bir arka kapı olan l0ader_shell’i içeren ve operatörlerin diğer siber suçlulara etkili bir şekilde saldırılar düzenlemesine olanak tanıyan, güvenliği ihlal edilmiş kurumsal ana bilgisayarların siber suç forumlarında reklam yapılmasını içerir.
Saldırıyı mümkün kılan birincil modül, yürütme ortamını değerlendirmek ve FastCGI İşlem Yöneticisi kılığına giren ELF tabanlı bir arka kapıyı indirmekten sorumlu olan “init_task” da dahil olmak üzere ek bileşenleri getirmek için kullanılan “task_loader”dır (“/ lib/php-fpm”), daha fazla yük yürütmesi için PHP dosyalarına kötü amaçlı kod bulaştırıyor ve hassas bilgileri toplayıp sistem dosyalarını değiştiriyor.
Saldırı zinciri ayrıca, güncellenmiş bir ağ altyapısından yararlanan ve arka kapılı bir istemciyi indirme ve çalıştırma yeteneğini içeren “init_task”ın yeniden düzenlenmiş bir sürümü olan “client_loader” adlı bir modülü de içerir. Kalıcılığı sağlamak için “/etc/init.d/network” gibi sistem dosyalarını değiştirir.
PHP arka kapısı, TCP ve UDP arasındaki C2 bağlantılarını değiştirmesine, bir kabuk başlatmasına, dosyaları indirmesine/yüklemesine, dosya ve dizin işlemlerini gerçekleştirmesine ve isteğe bağlı PHP kodu çalıştırmasına olanak tanıyan 22 benzersiz komutu destekleyen tam özellikli bir arka kapıdır. Ek olarak çerçeve, C2 sunucusunu periyodik olarak yoklayarak daha fazla PHP veri yükünün alınmasını ve çalıştırılmasını mümkün kılar.
XLab, “Bu yükler son derece modülerdir, bağımsız olarak çalışabilme veya kapsamlı bir saldırı çerçevesi oluşturmak için görev_loader aracılığıyla sırayla yürütülme kapasitesine sahiptir.” dedi. “Kod yürütmenin tamamı PHP veya PHP-FPM (FastCGI) işlemleri içinde gerçekleşir, hiçbir dosya yükünün geride bırakılmamasını sağlar, böylece gizli bir ayak izi elde edilir.”
Dikkate değer diğer bir husus da HackBrowserData aracının siber suç operatörleri tarafından gelecekteki kimlik avı veya sosyal mühendislik kampanyalarına bilgi sağlamak amacıyla hassas bilgileri çalmak için kullanılan sistemlerde kullanılmasıdır.
XLab, “Siber suç yoluyla geleneksel ‘beyaz şapkalı’ kurbanları hedeflemenin yanı sıra Glutton, siber suç kaynakları operatörlerinden yararlanmaya da stratejik bir odaklanma gösteriyor.” dedi. “Bu, saldırganların kendi aktivitelerini onlara karşı kullanan, özyinelemeli bir saldırı zinciri yaratıyor.”
Açıklama, XLab’ın, gelişmiş kalıcılık mekanizmaları ekleyen ve “dosyaların, işlemlerin ve ağ bağlantılarının izlerini maskelemek için RC4 şifreli bir çekirdek sürücüsü yerleştiren” Mélofée adlı APT41 kötü amaçlı yazılımının güncellenmiş bir sürümünü ayrıntılı olarak açıklamasından haftalar sonra geldi.
Kurulduktan sonra Linux arka kapısı, cihaz ve işlem bilgilerinin toplanması, kabuğun başlatılması, süreçlerin yönetilmesi, dosya ve dizin işlemlerinin gerçekleştirilmesi ve kendisinin kaldırılması dahil olmak üzere çeşitli komutları almak ve yürütmek için bir C2 sunucusuyla iletişim kuracak şekilde donatılmıştır.
“Melofee, son derece etkili gizlilik yetenekleriyle basit işlevsellik sunuyor” dedi. “Bu kötü amaçlı yazılım ailesinin örnekleri nadirdir, bu da saldırganların kullanımını yüksek değerli hedeflerle sınırlandırabileceğini düşündürmektedir.”