GLUTTON: Vũ khí mới của nhóm tin tặc APT của Trung Quốc đe dọa toàn cầu

Phía FPT Threat Intelligence phát hiện chiến dịch tấn công phát tán backdoor PHP siêu tinh vi có tên Glutton. Được cho là sản phẩm của nhóm tin tặc Winnti - một nhóm APT có liên hệ chặt chẽ với chính phủ Trung Quốc, phần mềm độc hại này đã hoạt động "ẩn mình" suốt hơn một năm, nhắm vào 5 quốc gia bao gồm cả Mỹ và Trung Quốc. Với khả năng đột nhập không để lại dấu vết và chiến thuật tấn công độc đáo, Glutton được đánh giá là một trong những mối đe dọa nghiêm trọng trong năm 2024.

Thông tin chi tiết

Malware Glutton được thiết kế tinh vi với khả năng tấn công đa mục tiêu và khó bị phát hiện. Các quốc gia bị nhắm đến bao gồm Trung Quốc, Mỹ, Campuchia, Pakistan và Nam Phi. Điều đáng chú ý là malware này đã hoạt động âm thầm trong hơn một năm mà không bị phát hiện.

Đặc điểm nổi bật của Glutton là cấu trúc module hóa và khả năng hoạt động "phi tung tích". Toàn bộ quá trình thực thi mã độc diễn ra trong môi trường PHP hoặc PHP-FPM, không để lại dấu vết file thông thường. Malware có thể đánh cắp dữ liệu và chèn mã độc vào các framework PHP phổ biến như Baota, ThinkPHP, Yii và Laravel.

Các nhà nghiên cứu phát hiện hoạt động bất thường từ một địa chỉ IP. Điều tra sâu hơn cho thấy IP này đang phân phối một backdoor nhắm vào hệ điều hành Unix. Từ đây, các chuyên gia đã dần khám phá ra một mạng lưới phức tạp của các mã độc PHP có liên quan.

Mặc dù có một số điểm chưa hoàn thiện trong việc che giấu và thực thi - điều không điển hình của Winnti - các nhà nghiên cứu vẫn tin rằng nhóm này đứng sau Glutton. Chiến thuật đặc biệt của họ là cố tình nhắm vào các hệ thống trong thị trường tội phạm mạng, biến công cụ của những tên tội phạm mạng thành vũ khí chống lại chính họ.

Winnti, còn được biết đến với tên APT41, không phải là cái tên xa lạ trong giới an ninh mạng. Theo báo cáo năm 2019 của Mandiant, nhóm này vừa thực hiện các chiến dịch cho chính phủ Trung Quốc, vừa tham gia vào các hoạt động tội phạm mạng độc lập. Lịch sử hoạt động của họ bao gồm tấn công các công ty cá cược trực tuyến ở Trung Quốc, khai thác lỗ hổng Microsoft Exchange để nhắm vào khách sạn và cơ quan chính phủ trên toàn cầu.

Xu hướng tận dụng cơ sở hạ tầng của các nhóm tội phạm mạng khác không chỉ giới hạn ở Winnti. Microsoft gần đây cũng phát hiện nhóm Turla của Nga sử dụng chiến thuật tương tự. Điều này cho thấy một xu hướng mới trong thế giới tội phạm mạng: các nhóm APT đang ngày càng tinh vi trong việc che giấu dấu vết và tận dụng nguồn lực sẵn có.

IOCs

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị các tổ chức và cá nhân một số cách để phòng chống cuộc tấn công trên:

Thực hiện triển khai hệ thống giám sát liên tục cho các hoạt động PHP và PHP-FPM cùng với đó là theo dõi chặt chẽ các kết nối bất thường đến và đi từ máy chủ đặc biệt các file PHP hoặc trong các framework phổ biến.
Cần cập nhật thường xuyên các phiên bản PHP và PHP-FPM mới nhất và giới hạn quyền truy cập và thực thi của PHP trong hệ thống.
Rà soát và cập nhật các framework PHP (Baota, ThinkPHP, Yii, Laravel).
Hạn chế các module và tính năng không cần thiết và áp dụng chính sách kiểm soát phiên bản chặt chẽ.
Xây dựng quy trình phản ứng sự cố rõ ràng và diễn tập định kỳ các tình huống tấn công.
Đảm bảo việc thực hiện sao lưu dữ liệu được làm thường xuyên, kiểm tra tính toàn vẹn của bản sao lưu và xây dựng và duy trì kế hoạch khôi phục sau sự cố cùng với đó lưu trữ bản sao lưu ở vị trí an toàn và tách biệt.