Хакеры Winnti используют новый бэкдор Glutton для атак на компании и конкурентов

Китайская хакерская группировка Winnti, известная также как APT41, разрабатывает и активно использует новый инструмент — бэкдор Glutton. Этот модульный зловред поражает компании в Китае и США, а также применяется для атак на другие киберпреступные группы. Glutton впервые был выявлен исследователями из QAX в апреле 2024 года, хотя данные о его использовании датируются концом 2023 года.

Основное назначение Glutton — взлом серверов и поддержание скрытого доступа. Бэкдор заражает популярные веб-фреймворки, такие как ThinkPHP, Yii, Laravel и Dedecms, что позволяет Winnti вмешиваться в работу бизнес-приложений. Зловред распространяется через PHP-процессы, выполняя задачи в памяти, что делает его труднодоступным для обнаружения. Для сохранения присутствия Glutton модифицирует ключевые системные файлы и серверные панели, включая Baota, позволяя похищать данные и обеспечивать повторный доступ.

Интересной особенностью кампании стало использование Glutton для атак на других хакеров. Зловред встраивается в программное обеспечение, продаваемое на подпольных форумах, включая фальшивые игровые платформы и криптобиржи. Как только злоумышленники начинают использовать эти заражённые продукты, Glutton внедряет в их системы инструмент HackBrowserData, похищая конфиденциальную информацию, такую как пароли, куки и данные о кредитных картах.

Winnti применяет эту стратегию, известную как «чёрный ест чёрного», для извлечения выгоды из действий других хакеров. Исследователи считают, что группа таким образом не только атакует компании, но и стремится к доминированию среди киберпреступных группировок.

Несмотря на мощные функции, у Glutton обнаружены недостатки в шифровании и механизмах скрытности. Это может указывать на то, что бэкдор всё ещё находится на стадии активной доработки. В то же время его уже задействуют для атак на компании из сфер ИТ-услуг, веб-разработки и управления базами данных, что подчёркивает высокую угрозу.