https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

新 PHP 後門程式「Glutton」! 中國駭客組織 APT41 攻擊其他駭客團體

2024 / 12 / 18
編輯部
新 PHP 後門程式「Glutton」! 中國駭客組織 APT41 攻擊其他駭客團體
中國駭客組織 Winnti 正在使用一款名為「Glutton」的全新 PHP 後門程式,攻擊中國和美國的組織,同時也鎖定其他網路犯罪集團為攻擊目標。

中國資安公司於 2024 年 4 月下旬發現此新型 PHP 惡意程式,經分析相關檔案的部署時間可追溯至 2023 年 12 月。雖然 Glutton 是一款進階的後門程式,但它在隱匿性和加密方面仍有明顯弱點,顯示此程式可能處於早期開發階段。

Winnti(又稱 APT41)是一個受中國政府支持的駭客組織,專門從事網路間諜活動和金融竊取。自 2012 年成立以來,該組織主要攻擊遊戲、製藥和電信產業,並將觸手伸向政治組織和政府機構。

全新 Glutton 後門程式

Glutton 是一款基於 ELF 的模組化後門程式,為 Winnti 駭客提供靈活性與隱匿性,讓他們能啟用特定組件進行客製化攻擊。其核心組件包含四大部分:「task_loader」用於偵測環境「init_task」負責安裝後門「client_loader」執行程式碼混淆,以及「client_task」操作 PHP 後門並與指揮控制(C2)伺服器進行通訊

這些惡意程式具有高度模組化特性,能夠獨立運作或透過 task_loader 依序執行,進而形成完整的攻擊框架。所有程式碼在 PHP 或 PHP-FPM(FastCGI)程序中執行時,不會留下任何檔案痕跡。

此後門程式偽裝成「php-fpm」程序,利用動態記憶體執行達成無檔案運作,並將惡意程式碼('l0ader_shell')注入至 ThinkPHP、Yii、Laravel 和 Dedecms 等框架的 PHP 檔案中。

Glutton 透過修改系統檔案(如'/etc/init.d/network')來確保重開機後仍能持續運作,同時修改寶塔面板(Baota Panel)檔案以維持存取權限並竊取憑證和設定檔。除了針對寶塔面板,該惡意程式也能竊取系統資訊和檔案系統中的資料。

Glutton 可接收來自 C2 伺服器的 22 種指令,執行以下操作:
  • 建立、讀取、寫入、刪除和修改檔案
  • 執行 Shell 指令
  • 執行 PHP 程式碼
  • 掃描系統目錄
  • 擷取主機資訊
  • 在 TCP 和 UDP 連線間切換
  • 更新 C2 設定

黑吃黑策略的手段

研究顯示,Winnti 已在中國和美國部署 Glutton,主要攻擊目標包括資訊科技服務業、社會安全機構和網頁開發商。他們透過程式碼注入手法,入侵企業常用的 PHP 框架,如 ThinkPHP、Yii、Laravel 和 Dedecms 等重要業務應用程式。

寶塔面板是一款中國伺服器管理軟體,支援Windows和Linux系統,可以協助使用者建立網站,一鍵配置伺服器環境。由於該面板因廣泛用於管理 MySQL 資料庫等敏感資料,也成為攻擊者的目標之一。

Winnti 積極運用 Glutton 獵捕其他駭客,將後門程式植入於 Timibbs 等駭客論壇上販售的軟體套件中。這些被植入木馬的套件主要偽裝成三種形式:賭博和遊戲系統假冒的加密貨幣交易所,以及點擊農場平台。

一旦其他網路罪犯的系統遭到感染,Glutton 就會部署「HackBrowserData」工具,從網頁瀏覽器中竊取密碼、Cookie、信用卡資料、下載紀錄和瀏覽歷史等敏感資訊。

中國資安公司 XLabs 解釋,部署 HackBrowserData 被認為是「以黑吃黑」策略的一部分。當其他網路罪犯在本地端嘗試偵錯或修改已遭植入後門的系統時,Glutton 的操作者會部署 HackBrowserData,竊取這些犯罪者的敏感資訊。這形成了一個反制機制,讓攻擊者反而成為攻擊目標。

XLabs 已公布此次 Winnti 攻擊行動的入侵指標(IOC),儘管該攻擊行動已持續超過一年,其初始入侵途徑仍未能確認。

本文轉載自 BleepingComputer。