گزارشهای اخیر نشان میدهند که گروه هکرهای چینی Winnti از یک درِ پشتی جدید، به نام «Glutton» در حملات علیه سازمانهای مختلف در چین و ایالات متحده و همچنین سایر مجرمان سایبری استفاده میکند.
این بدافزار در اواخر آوریل ۲۰۲۴ شناسایی شده و شواهد موجود نشان میدهند که در پشتی Glutton از دسامبر ۲۰۲۳، توسط مهاجمان در حال استفاده بوده است.
بر اساس گفتههای محققان در حالی که Glutton یک در پشتی پیشرفته است، دارای نقاط ضعف قابل توجهی نیز در پنهان سازی و رمزگذاری است که ممکن است نشان دهنده در حال توسعه بودن این بدافزار باشد.
هکرهای Winnti، که همچنین با نام «APT41» نیز شناخته میشوند، یک گروه هکری تحت حمایت دولت چیناند که به دلیل فعالیتهای جاسوسی سایبری و سرقتهای مالی شناخته شدهاند. این گروه از زمان پیدایش خود در سال ۲۰۱۲، سازمانهایی را در صنایع بازی، داروسازی، مخابرات، سازمانهای سیاسی و آژانسهای دولتی را مورد حمله قرار داده است.
در پشتی Glutton از ۲۲ دستور دریافتی، از سرور C2 پشتیبانی میکند که منجر به اقدامات زیر میشود:
- ایجاد، خواندن، نوشتن، حذف و اصلاح فایلها
- اجرای فرمانهای شِل (Shell Commands)
- ارزیابی کد PHP
- اسکن دایرکتوریهای سیستم
- بازیابی متادیتا (ابرداده) میزبان
- تغییر بین اتصالات TCP و UDP
- بهروزرسانی پیکربندی C2
همچنین محققان امنیتی اظهار کردهاند که گروه Winnti، علیه اهداف متنوع در چین و ایالات متحده متمرکز است که در درجه اول، خدمات فناوری اطلاعات، آژانسهای امنیت اجتماعی و توسعهدهندگان وب اپلیکیشن را مورد حمله قرار میدهد.
اپراتورهای Glutton با قرار دادن این در پشتی در بستههای نرمافزاری موجود در انجمنهای هکینگ، سایر مهاجمان سایبری را نیز مورد حمله قرار میدهند.
پس از آلوده شدن سیستمهای مهاجمان، Glutton از ابزار «HackBrowserData» برای استخراج اطلاعات حساس از مرورگرهای وب، مانند رمزهای عبور، کوکیها، کارتهای اعتباری، سابقه دانلود و سابقه مرورگر استفاده میکند.
توضیحات بیشتر:
- Winnti hackers target other threat actors with new Glutton PHP backdoor