Peneliti keamanan siber telah menemukan pintu belakang berbasis PHP baru yang disebut Pelahap yang telah digunakan dalam serangan dunia maya yang menargetkan Tiongkok, Amerika Serikat, Kamboja, Pakistan, dan Afrika Selatan.
QiAnXin XLab, yang menemukan aktivitas berbahaya tersebut pada akhir April 2024, mengaitkan malware yang sebelumnya tidak dikenal tersebut dengan tingkat keyakinan sedang dengan kelompok negara-bangsa Tiongkok yang produktif yang melacak Winnti (alias APT41).
Menariknya, penyelidikan kami mengungkapkan bahwa pencipta Glutton sengaja menargetkan sistem dalam pasar kejahatan dunia maya, kata perusahaan itu. “Dengan meracuni operasi mereka, mereka bertujuan untuk menggunakan alat yang digunakan para penjahat dunia maya untuk melawan mereka – sebuah skenario klasik 'tidak ada kehormatan di antara pencuri'.”
Glutton dirancang untuk mengambil informasi sistem yang sensitif, melepaskan komponen pintu belakang ELF, dan melakukan injeksi kode terhadap kerangka kerja PHP populer seperti Baota (BT), ThinkPHP, Yii, dan Laravel. Malware ELF juga memiliki “kemiripan yang hampir sempurna” dengan alat Winnti yang dikenal sebagai PWNLNX.
Meskipun ada kaitannya dengan Winnti, XLab mengatakan pihaknya tidak dapat secara pasti menghubungkan pintu belakang ke musuh karena kurangnya teknik siluman yang biasanya dikaitkan dengan kelompok tersebut. Perusahaan keamanan siber tersebut menggambarkan kekurangan yang ada “sangat di bawah standar.”
Hal ini mencakup kurangnya komunikasi perintah-dan-kontrol (C2) terenkripsi, penggunaan HTTP (bukan HTTPS) untuk mengunduh payload, dan fakta bahwa sampel tidak memiliki kebingungan apa pun.
Pada intinya, Glutton adalah kerangka malware modular yang mampu menginfeksi file PHP pada perangkat target, serta tanaman backdoor. Akses awal diyakini dicapai melalui eksploitasi kelemahan zero-day dan N-day serta serangan brute force.
Pendekatan tidak lazim lainnya adalah dengan beriklan di forum kejahatan dunia maya yang mengkompromikan host perusahaan yang berisi l0ader_shell, sebuah pintu belakang yang dimasukkan ke dalam file PHP, yang secara efektif memungkinkan operator melakukan serangan terhadap penjahat dunia maya lainnya.
Modul utama yang memungkinkan serangan ini adalah “task_loader,” yang digunakan untuk menilai lingkungan eksekusi dan mengambil komponen tambahan, termasuk “init_task,” yang bertanggung jawab untuk mengunduh pintu belakang berbasis ELF yang menyamar sebagai Manajer Proses FastCGI (“/ lib/php-fpm”), menginfeksi file PHP dengan kode berbahaya untuk eksekusi muatan lebih lanjut, dan mengumpulkan informasi sensitif serta memodifikasi file sistem.
Rantai serangan juga mencakup modul bernama “client_loader”, versi “init_task” yang telah difaktorkan ulang, yang memanfaatkan infrastruktur jaringan yang diperbarui dan menggabungkan kemampuan untuk mengunduh dan mengeksekusi klien yang memiliki pintu belakang. Ini memodifikasi file sistem seperti “/etc/init.d/network” untuk membangun persistensi.
Pintu belakang PHP adalah pintu belakang berfitur lengkap yang mendukung 22 perintah unik yang memungkinkannya mengalihkan koneksi C2 antara TCP dan UDP, meluncurkan shell, mengunduh/mengunggah file, melakukan operasi file dan direktori, dan menjalankan kode PHP arbitrer. Selain itu, kerangka kerja ini memungkinkan untuk mengambil dan menjalankan lebih banyak muatan PHP dengan melakukan polling secara berkala ke server C2.
“Muatan ini sangat modular, mampu berfungsi secara independen atau dieksekusi secara berurutan melalui task_loader untuk membentuk kerangka serangan yang komprehensif,” kata XLab. “Semua eksekusi kode terjadi dalam proses PHP atau PHP-FPM (FastCGI), memastikan tidak ada muatan file yang tertinggal, sehingga menghasilkan jejak yang tersembunyi.”
Salah satu aspek penting lainnya adalah penggunaan alat HackBrowserData pada sistem yang digunakan oleh operator kejahatan dunia maya untuk mencuri informasi sensitif dengan tujuan untuk menginformasikan kampanye phishing atau rekayasa sosial di masa depan.
“Selain menargetkan korban ‘whitehat’ tradisional melalui kejahatan dunia maya, Glutton menunjukkan fokus strategis dalam mengeksploitasi operator sumber daya kejahatan dunia maya,” kata XLab. “Hal ini menciptakan rantai serangan yang berulang, memanfaatkan aktivitas penyerang sendiri untuk melawan mereka.”
Pengungkapan ini terjadi beberapa minggu setelah XLab merinci versi terbaru dari malware APT41 yang disebut Mélofée yang menambahkan mekanisme persistensi yang lebih baik dan “menyematkan driver kernel terenkripsi RC4 untuk menutupi jejak file, proses, dan koneksi jaringan.”
Setelah diinstal, pintu belakang Linux dilengkapi untuk berkomunikasi dengan server C2 untuk menerima dan menjalankan berbagai perintah, termasuk mengumpulkan informasi perangkat dan proses, meluncurkan shell, mengelola proses, menjalankan operasi file dan direktori, dan menghapus instalasinya sendiri.
“Mélofée menawarkan fungsionalitas sederhana dengan kemampuan siluman yang sangat efektif,” katanya. “Sampel dari keluarga malware ini jarang terjadi, menunjukkan bahwa penyerang mungkin membatasi penggunaannya pada target bernilai tinggi.”
