New Glutton Malware Exploits Popular PHP Frameworks Like Laravel and ThinkPHP
- 개요
- Glutton은 새로운 PHP 기반 백도어로 중국, 미국, 캄보디아, 파키스탄, 남아프리카를 목표로 공격 발생
- QiAnXin XLab에 의해 2024년 4월 하순 발견
- Winnti(에이피티(ATP)41) 그룹과 연관 가능성 제기되나, 특유의 은폐 기법 부족 등으로 확정적 평가는 어려움
- 주요 특징
- 인기 PHP 프레임워크(Baota(BT), ThinkPHP, Yii, Laravel) 대상 코드 삽입
- ELF 백도어(PWNLNX와 유사) 설치 후, 민감 정보 수집 및 원격 명령 실행
- C2 통신 암호화 미흡 (HTTP만 사용), 파일 난독화/암호화도 없음
- 모듈형 설계로 PHP 프로세스 내부에서만 악성 코드 실행 (추가 파일 없이 은밀성 확보)
- 공격 경로
- 제로데이·N데이 취약점 또는 무차별 대입(Brute force) 시도로 초기 침투
- 사이버 범죄 포럼에서 감염된 호스트 판매, 공격자 간 공격 재활용 시도
- Glutton 제작자가 일부러 사이버 범죄 인프라를 감염시키는 “적의 도구를 적에게 돌려주는” 전략 수행
- 기능 및 구조
- task_loader 모듈
- 환경 검사, 추가 컴포넌트( init_task 등) 다운로드
- init_task/ client_loader
- ELF 백도어 설치, PHP 파일 감염 통한 추가 페이로드 실행
- 시스템 파일 변경, 민감 정보 수집
- PHP 백도어
- 22개 명령 지원 (TCP/UDP 전환, 셸 실행, 파일 업/다운로드, 디렉터리 조작 등)
- 주기적으로 C2와 통신하여 추가 PHP 페이로드 로딩
- HackBrowserData 도구 사용
- 사이버 범죄자들의 브라우저 데이터 탈취 → 피싱, 사회공학 공격 준비 가능성
- task_loader 모듈
- Winnti(에이피티(ATP)41)와의 관련성
- ELF 백도어가 과거 PWNLNX와 유사
- 전형적인 Winnti의 은폐 기법(암호화된 C2 통신, 고급 난독화) 부족 → 개발 미완성 또는 제한적 사용 추정
- 표적이 사이버 범죄 운영자까지 포함되며, 내부 공격(“배신”) 성격도 존재
- 결론
- Glutton은 PHP 기반 서버 환경을 광범위하게 감염할 수 있는 고도의 백도어로, Laravel 등 프레임워크 사용 기업·기관은 큰 위협에 노출
- 제로데이·N데이 취약점 패치 및 서버 접근통제, WAF(Web Application Firewall) 설정 강화 등 보안 대책 필요
- 사이버 범죄자 커뮤니티조차 노린다는 점에서, 모든 조직은 내부망 침투 가능성을 염두에 두고 지속적인 모니터링과 보안 업데이트를 유지해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| OWASP 선정 주요 취약점 대응을 위한 API 보안 기술 TOP 6 (0) | 2025.01.02 |
|---|---|
| 보안에는 용서하기 힘든 실수가 있다: 경로 조작 취약점 (0) | 2025.01.02 |
| NoviSpy 스파이웨어: 세르비아 경찰의 휴대폰 포렌식 도구 사용과 감염 사례 (0) | 2025.01.02 |
| 악성광고 캠페인 "DeceptionAds" 광고 네트워크 악용 사례 (1) | 2025.01.02 |
| NodeLoader 악성코드 분석: Node.js 기반 로더로 광범위 공격 (0) | 2025.01.02 |