Glutton 惡意軟體再升級，瞄準 PHP 框架發動攻擊

  近期發現了一種名為Glutton 的新型基於 PHP 的後門，該後門已被用於針對中國、美國、柬埔寨、巴基斯坦和南非的網路攻擊。QiAnXin XLab（奇安信X實驗室） 於 2024 年 4 月下旬發現了該惡意活動，並以中等可信度將先前未知的惡意軟體歸因於追蹤的多產中國民族國家組織 Winnti（又名 APT41）。   根據調查顯示，Glutton 的創建者故意針對網路犯罪市場內的系統， 並透過投毒行動，目的是利用網路犯罪分子的工具來對付他們，Glutton 旨在收集敏感系統訊息，刪除 ELF 後門組件，並對流行的 PHP 框架（如 Baota (BT)、ThinkPHP、Yii 和 Laravel）執行程式碼注入， ELF 惡意軟體也與名為PWNLNX 的已知 Winnti 工具幾乎完全相似。   儘管XLab 表示，由於缺乏通常與該組織相關的隱形技術，但不能肯定地將後門與對手聯繫起來，該網路安全公司將這些缺陷描述為「異常地低於標準」，這包括缺乏加密的命令和控制 (C2) 通訊、使用 HTTP（而不是 HTTPS）下載有效負載，以及樣本沒有任何混淆，從本質上講，Glutton 是一個模組化惡意軟體框架，能夠感染目標裝置上的 PHP 檔案以及植物後門。據信，初始訪問是透過利用零日和 N 日缺陷以及暴力攻擊來實現的。                                                                                                         ( PHP 流程圖 )   另一種非常規方法是在網路犯罪論壇上發布包含 l0ader_shell 的受感染企業主機的廣告，l0ader_shell 是一個注入 PHP 檔案的後門，有效地允許營運商對其他網路犯罪分子發動攻擊，啟用攻擊的主要模組是“task_loader”，它用於評估執行環境並獲取其他元件，包括“init_task”，它負責下載偽裝成FastCGI 進程管理器的基於 ELF 的後門（“/ lib/php-fpm"） ，用惡意程式碼感染PHP 檔案以進一步執行有效負載，並收集敏感資訊和修改系統檔案。   攻擊鏈還包括一個名為「client_loader」的模組，它是「init_task」的重構版本，它利用更新的網路基礎設施，並包含下載和執行後門客戶端的功能。它修改“/etc/init.d/network”等系統檔案來建立持久性，PHP 後門是一個功能齊全的後門，支援 22 個獨特的命令，允許其在 TCP 和 UDP 之間切換 C2 連接、啟動 shell、下載/上傳檔案、執行檔案和目錄操作以及運行任意 PHP 程式碼，此外，該框架還可以透過定期輪詢 C2 伺服器來取得和運行更多 PHP 有效負載。   另一個值得注意的方面是網路犯罪業者在系統上使用HackBrowserData工具來竊取敏感訊息，其目標可能是為未來的網路釣魚或社會工程活動提供資訊，一旦安裝，Linux後門就會與C2伺服器通信，以接收和執行各種命令，包括收集設備和進程資訊、啟動shell、管理進程、執行檔和目錄操作以及卸載自身。   Glutton 惡意軟體針對 Laravel 和 ThinkPHP 等 PHP 框架的攻擊，再次提醒我們網路威脅的無所不在與持續演進。開發者應時刻保持警惕，遵循安全開發最佳實踐，定期更新框架和相關套件，並實施嚴格的輸入驗證，以降低受攻擊的風險。同時，建立完善的監控和應變機制，也能在遭受攻擊時及時發現並採取行動。面對這類新型威脅，需要整個社群的共同努力，透過及時分享威脅情報、漏洞資訊和防禦經驗，共同維護網路安全。我們也呼籲框架開發者加強漏洞修補和安全更新的發布，相關單位也應提供更多的資源和支持，共同提升 PHP 生態系的安全性。唯有透過多方合作，才能有效應對這類不斷演進的網路威脅，確保網路環境的安全。   參考資料: https://thehackernews.com/2024/12/new-glutton-malware-exploits-popular.html https://www.ithome.com.tw/news/166541 https://gemini.google.com/app/a1d7875b56788734