駭客鎖定網頁應用程式而來,打造Linux惡意程式的情況,已有資安業者提出警告,呼籲IT人員要嚴加防範,如今有研究人員發現,惡名昭彰的APT41很可能在1年前就開始製作這類惡意程式。
中國資安業者奇安信指出,他們今年4月底發現,代號為Winnti、Earth Baku、Brass Typhoon的中國駭客組織APT41,正在散播ELF形式的後門程式,由於駭客曾利用同一個IP位址散布惡意PHP檔案init_task.txt,這樣的情況引起了他們的注意。
經過調查,他們找出一系列的PHP惡意酬載,包括task_loader、init_task_win32、client_loader、client_task、fetch_task、l0ader_shell等,但特別的是,這些惡意程式不僅能獨立運作,還能搭配task_loader載入其他有效酬載,形成完整的攻擊框架。研究人員提及,所有的程式碼都是透過PHP及PHP-FPM(FastCGI)的處理程序載入、執行,使得有效酬載能在隱匿的狀態下運作。
由於攻擊者透過這些元件組成的PHP木馬程式,能夠感染大量PHP檔案,並能於受害主機植入l0ader_shell,研究人員將其命名為Glutton。根據init_task.txt出現的時間,研究人員推測此後門程式活動已超過1年。
對於這個木馬程式的主要功能,大致可歸納為3種層面,分別是竊取系統資訊、部署後門程式,以及針對熱門的PHP框架,如:ThinkPHP、Yii、Laravel,注入惡意程式碼。
研究人員提及,Glutton採用高度模組化設計,其中核心元件包含了偵測環境的task_loader、後門部署工具init_task、導入混淆機制的client_loader,以及建立C2通訊的client_task。
而對於駭客的攻擊目標,他們認為主要是針對中國及美國,特別鎖定IT服務、社會福利機構、網頁應用程式開發人員。此外,研究人員也提及這些駭客也對其他網路犯罪者下手的情況,APT41將Glutton嵌入其他作案工具,並在駭客論壇兜售,一旦買家執行,就會導致電腦感染Glutton,並載入名為HackBrowserData的工具,從而竊取瀏覽器存放的敏感資訊。
熱門新聞
2025-01-26
2025-01-25
2025-01-26
2025-01-27
2025-01-27
2025-01-26
2025-01-27