Glutton backdoor
A QAX XLab kutatói publikálták a Glutton nevű, új PHP-alapú hátsó ajtó (backdoor) részletes elemzését. A Glutton több önállóan is működőképes modulból áll, amelyek együtt egy átfogó támadási keretrendszert alkotnak. A kód végrehajtása kizárólag PHP vagy PHP-FPM (FastCGI) folyamatokon belül történik, így nem maradnak hátra fájl alapú nyomok, ami megnehezíti a felderítést.
A Glutton összegyűjti a rendszerinformációkat, valamint az érzékeny adatok a Baota panelből, így a hitelesítő adatokat és a kezelőfelület részleteit.
Backdoorokat használ, többek között ELF-alapú Winnti backdoort és PHP-alapú backdoorokat. Kártékony kódokat injektál népszerű PHP keretrendszerekbe, mint a Baota (BT), ThinkPHP, Yii és Laravel.
A Glutton fertőzéseket elsősorban Kínában és az Egyesült Államokban észlelték, különösen az IT szolgáltatások, üzleti műveletek és társadalombiztosítás területén. Érdekes módon a kártevő készítői a kiberbűnözői piac szereplőit is célba vették, saját eszközeiket ellenük fordítva.