بدافزار گلوتون، تهدیدی جدید برای فریم‌ورک‌های PHP مانند Laravel و ThinkPHP

بدافزار گلوتون، یک تهدید پیشرفته و تازه کشف‌شده است که فریم‌ورک‌های محبوب PHP مانند Laravel و ThinkPHP را هدف قرار می‌دهد. این بدافزار که به گروه Winnti مرتبط است، با سوءاستفاده از آسیب‌پذیری‌ها، اطلاعات حساس را جمع‌آوری می‌کند و با تزریق کد مخرب، امنیت سیستم‌های سازمانی را به خطر می‌اندازد. گلوتون همچنین از شبکه‌های جرایم سایبری برای گسترش فعالیت‌های خود استفاده می‌کند و به تهدیدی جهانی تبدیل شده است.

“`markdown

ظهور تهدیدی نوین: بدافزار گلوتون

متخصصان امنیت سایبری، بدافزاری پیچیده به نام گلوتون را کشف کرده‌اند. این بدافزار از نوع بک‌دور و مبتنی بر PHP است. گلوتون به طور فعال سیستم‌هایی در چین، آمریکا، کامبوج، پاکستان و آفریقای جنوبی را هدف قرار می‌دهد. این بدافزار اولین بار توسط QiAnXin XLab در آوریل ۲۰۲۴ شناسایی شد. به نظر می‌رسد گلوتون به گروه هکری چینی Winnti (یا APT41) مرتبط باشد. با این حال، برخی نکات مبهم در طراحی آن، منشأ دقیق این بدافزار را نامشخص می‌گذارد.

استراتژی پیچیده: استفاده از ابزار مجرمان سایبری علیه خودشان

یکی از نکات جالب در مورد گلوتون، استفاده‌ی هدفمند سازندگان آن از سیستم‌های درون اکوسیستم جرایم سایبری است. آنها با نفوذ به این سیستم‌ها و آلوده کردن آنها، ابزارهای مورد استفاده‌ی مجرمان سایبری را علیه خودشان به کار می‌گیرند. این نمونه‌ای بارز از “دزد از دزد می‌ترسد” است. این رویکرد، ابعاد تازه‌ای به این تهدید سایبری پیچیده می‌افزاید.

ویژگی‌ها و مکانیسم‌های حمله

گلوتون در اصل یک چارچوب بدافزار ماژولار است. این بدافزار برای انجام فعالیت‌های مخرب مختلفی طراحی شده است:

• جمع‌آوری اطلاعات حساس: گلوتون اطلاعات سیستم را جمع‌آوری و فایل‌های سیستم را برای سوءاستفاده‌های بعدی تغییر می‌دهد.
• تزریق کد: فریم‌ورک‌های محبوب PHP مانند Laravel، ThinkPHP، Yii و Baota (BT) را هدف قرار می‌دهد و فایل‌های PHP را با کد مخرب آلوده می‌کند.
• استقرار بک‌دور: یک بک‌دور مبتنی بر ELF شبیه به ابزار شناخته‌شده‌ی Winnti به نام PWNLNX را مستقر می‌کند.

گمان می‌رود آلودگی اولیه از طریق آسیب‌پذیری‌های روز صفر (zero-day) و روز-N (N-day) یا حملات brute-force انجام می‌شود. همچنین، اپراتورهای این بدافزار از تاکتیکی جدید استفاده می‌کنند: تبلیغ میزبان‌های سازمانی آلوده در انجمن‌های جرایم سایبری. این میزبان‌ها از قبل با “l0ader_shell” که یک بک‌دور تزریق شده به فایل‌های PHP است، آلوده شده‌اند. این کار حملات بیشتر به مجرمان سایبری غافل را ممکن می‌سازد.

معماری ماژولار: ردپایی مخفی

زنجیره حمله گلوتون توسط چندین ماژول کلیدی پشتیبانی می‌شود:

1. Task_loader: این ماژول اصلی، محیط اجرا را ارزیابی می‌کند و سایر اجزا را فعال می‌کند، از جمله:
2. Init_task: بک‌دور مبتنی بر ELF را که به عنوان مدیر فرآیند FastCGI (“/lib/php-fpm”) پنهان شده است، دانلود می‌کند. همچنین کد مخرب PHP را برای اجرای payload کاشته می‌کند.
3. Client_loader: نسخه‌ی پیشرفته‌تر init_task است. از زیرساخت شبکه به‌روز شده استفاده می‌کند و کلاینت‌های بک‌دور را مستقر می‌کند. با تغییر فایل‌های سیستم مانند “/etc/init.d/network” پایداری ایجاد می‌کند.

این بدافزار بسیار ماژولار است و می‌تواند به طور مستقل یا پیوسته اجرا شود تا یک چارچوب حمله‌ی منسجم تشکیل دهد. اجرای آن کاملاً در فرآیندهای PHP یا PHP-FPM انجام می‌شود. این امر تضمین می‌کند که هیچ payload فایل قابل ردیابی باقی نمی‌ماند. این رویکرد، ردپای قابل تشخیص آن را به میزان قابل توجهی کاهش می‌دهد.

قابلیت‌های پیشرفته بک‌دور PHP

بک‌دور PHP تعبیه شده در گلوتون یک ابزار کامل با ۲۲ دستور منحصر به فرد است. این دستورات به آن امکان می‌دهند تا:

• اتصالات فرمان و کنترل (C2) را بین TCP و UDP تغییر دهد.
• یک پوسته (shell) از راه دور راه‌اندازی کند.
• فایل‌ها را دانلود و آپلود کند.
• کد دلخواه PHP را اجرا کند.
• عملیات مختلف فایل و دایرکتوری را انجام دهد.

این بدافزار همچنین به صورت دوره‌ای سرور C2 خود را برای دریافت و اجرای payloadهای اضافی PHP بررسی می‌کند. این امر قابلیت‌های ماژولار و سازگاری آن را افزایش می‌دهد.

نقص در اجرا: نامتعارف برای Winnti

با وجود عملکرد پیشرفته‌اش، گلوتون نقاط ضعفی دارد که برای عملیاتی مرتبط با گروه Winnti غیرمعمول است:

• عدم رمزگذاری ارتباطات C2، و اتکا به HTTP به جای HTTPS.
• عدم مبهم‌سازی در نمونه‌های کد.
• تکنیک‌های پنهان‌کاری ناکافی، که عموماً از ویژگی‌های بارز کمپین‌های Winnti هستند.

این کاستی‌ها باعث شده تا محققان، پیاده‌سازی این بدافزار را “به طور غیرمعمولی ضعیف” توصیف کنند. با این حال، این موضوع از تهدید بالقوه‌ی آن، به ویژه با توجه به تمرکز غیرمعمول آن بر هدف قرار دادن زیرساخت‌های جرایم سایبری، نمی‌کاهد.

استفاده از داده‌های سرقت شده برای حملات آینده

یکی دیگر از جنبه‌های قابل توجه عملیات گلوتون، استفاده از ابزار HackBrowserData است. این ابزار، اطلاعات حساس را از سیستم‌های آلوده که توسط مجرمان سایبری اداره می‌شوند، می‌دزدد. احتمالاً از این داده‌های سرقت شده برای انجام حملات فیشینگ یا مهندسی اجتماعی در آینده استفاده خواهد شد. این امر، لایه‌ی دیگری از آینده‌نگری استراتژیک را به طراحی بدافزار اضافه می‌کند.

ارتباط با سایر تهدیدات

کشف گلوتون اندکی پس از آن صورت گرفت که QiAnXin XLab جزئیات نسخه‌ی به‌روز شده‌ای از بدافزار دیگری مرتبط با Winnti به نام Mélofée را منتشر کرد. این بک‌دور مبتنی بر لینوکس، مکانیسم‌های پایداری پیشرفته‌ای دارد و از یک درایور هسته رمزگذاری شده با RC4 برای پنهان کردن فعالیت‌های خود استفاده می‌کند. اگرچه به نظر می‌رسد Mélofée سیستم‌های با ارزش بالا را هدف قرار می‌دهد، نمونه‌های محدود آن نشان می‌دهد که استفاده از آن در مقایسه با گلوتون محدودتر است.

پیامدها برای امنیت سایبری

ظهور گلوتون، پیچیدگی فزاینده‌ی تهدیدات سایبری را نشان می‌دهد. به ویژه در نحوه‌ی سوءاستفاده از قربانیان سنتی و شبکه‌های جرایم سایبری. گلوتون با استفاده از چارچوب‌های ماژولار و استراتژی‌های حمله‌ی بازگشتی، بر نیاز به هوشیاری بیشتر در ایمن‌سازی فریم‌ورک‌های PHP و سیستم‌های مرتبط تأکید می‌کند. طراحی آن یادآوری این نکته است که حتی مجرمان سایبری نیز از تبدیل شدن به هدف مصون نیستند.

برای سازمان‌هایی که از پلتفرم‌های مبتنی بر PHP مانند Laravel یا ThinkPHP استفاده می‌کنند، اتخاذ اقدامات امنیتی قوی ضروری است. این اقدامات شامل به‌روزرسانی‌های منظم، ارزیابی آسیب‌پذیری‌ها و نظارت بر فعالیت‌های غیرمعمول می‌شود. این کار برای کاهش خطرات ناشی از تهدیدات پیچیده‌ای مانند گلوتون ضروری است.
“`

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: the hacker news