محققان امنیت سایبری یک درب پشتی جدید مبتنی بر PHP به نام Glutton کشف کردهاند که در حملات سایبری به سازمانهای چین، ایالات متحده، کامبوج، پاکستان و آفریقای جنوبی استفاده میشود.
شرکت امنیتی چینی QiAnXin XLab که این فعالیت مخرب را در اواخر آوریل 2024 کشف کرد، این بدافزار ناشناخته را با اطمینان متوسط به گروه پرکار دولت چین موسوم به Winnti (معروف به APT41) نسبت داد. Glutton به منظور جمعآوری اطلاعات حساس سیستم، دراپ یک مولفه دربپشتی ELF و انجام تزریق کد علیه چارچوبهای محبوب PHP مانند Baota (BT)، ThinkPHP، Yii و Laravel طراحی شده است.
بدافزار ELF، تقریباً شباهت کاملی با ابزار معروف Winnti به نام PWNLNX دارد. اما علی رغم وجود پیوندهایی به Winnti، به جهت فقدان تکنیکهای مخفیسازی معمول مرتبط با گروه، به طور قطع نمیتوان درب پشتی را به این نفوذگر مرتبط دانست. افزون بر این عدم ارتباطات فرمان و کنترل رمزگذاری شده (C2) و استفاده از HTTP (به جای HTTPS) برای دانلود پیلودها، بیانگر این واقعیت است که نمونهها فاقد هرگونه ابهام هستند.
https://www.bleepingcomputer.com/news/security/winnti-hackers-target-other-threat-actors-with-new-glutton-php-backdoo
r/https://thehackernews.com/2024/12/new-glutton-malware-exploits-popular.html
