La société de cybersécurité QiAnXin XLab a identifié une nouvelle porte dérobée PHP nommée Glutton, qui a été exploitée dans des cyberattaques ciblées dans plusieurs pays, dont la Chine, les États-Unis, le Cambodge, le Pakistan et l’Afrique du Sud. Ce malware, lié avec une confiance modérée au groupe parrainé par l’État chinois Winnti (également connu sous le nom d’APT41), a attiré l’attention en raison de son approche unique consistant à cibler les cybercriminels eux-mêmes.
QiAnXin XLab découvre la porte dérobée Glutton utilisée dans les cyberattaques
Glutton, découvert fin avril 2024 mais qui aurait été déployé dès décembre 2023, est conçu pour collecter des informations système sensibles et exécuter du code malveillant sur des frameworks PHP populaires tels que Laravel, ThinkPHP et Yii. La porte dérobée supprime un composant ELF et a été caractérisée comme ayant une « similarité presque complète » avec l’outil connu de Winnti, PWNLNX. Cependant, les chercheurs ont noté un « manque de techniques furtives » typiques des campagnes Winnti, ce qui suggère que le malware est peut-être encore en développement.
Le malware Glutton fonctionne à travers différents modules, le module « task_loader » jouant un rôle critique en évaluant l’environnement d’exécution. Les principales fonctions prises en charge par la porte dérobée incluent l’injection de code, la création de persistance et la communication avec les serveurs de commande et de contrôle (C2) via HTTP non sécurisé.
Qu’est-ce que Gluton ?
Glutton est un framework de malware modulaire qui exécute ses opérations sans laisser de preuves traditionnelles basées sur les fichiers, atteignant la furtivité en exécutant des instructions dans les processus PHP ou PHP-FPM. Cette approche lui permet de supprimer des charges utiles de manière dynamique tout en évitant les mécanismes de détection couramment utilisés par les outils de cybersécurité. Le framework comprend des composants tels que « init_task », qui installe la porte dérobée, et « client_loader », qui introduit des protocoles réseau raffinés pour améliorer ses capacités de déploiement.
Le jeu de commandes de Glutton est étendu, permettant une gamme d’opérations telles que la manipulation de fichiers, l’exécution de commandes et la possibilité de basculer entre TCP et UDP pour les connexions C2. Il prend en charge 22 commandes uniques qui permettent des actions telles que la récupération des métadonnées de l’hôte et l’exécution de code PHP arbitraire. La capacité de la porte dérobée à modifier les fichiers système critiques, y compris ceux associés aux paramètres réseau, garantit sa persistance même après le redémarrage du système.
La police serbe aurait utilisé le logiciel espion NoviSpy pour surveiller les journalistes
Les enquêtes révèlent que les auteurs du malware utilisent Glutton non seulement à des fins d’espionnage traditionnel, mais également pour retourner leurs opérations de cybercriminalité contre d’autres attaquants. En intégrant Glutton dans des progiciels accessibles vendus sur des forums de cybercriminalité, ciblant principalement les escrocs vendant des services trompeurs, les créateurs ont positionné la porte dérobée pour extraire des données sensibles des cybercriminels rivaux via des outils tels que HackBrowserData.
La stratégie de ciblage reflète une approche innovante décrite par XLab comme « le noir mange du noir », indiquant une tactique par laquelle Winnti infiltre et sape les adversaires rivaux dans le secteur de la cybercriminalité. Glutton aurait été utilisé contre des systèmes appartenant à des prestataires de services informatiques, des agences de sécurité sociale et des développeurs d’applications Web, en se concentrant sur des outils largement utilisés dans l’écosystème cybercriminel.
Le malware a été découvert dans des environnements compromis utilisant des frameworks PHP populaires, essentiels au fonctionnement de nombreuses applications professionnelles.
Crédit image en vedette : James Yarema/Unsplash
