446/67 (IT) ประจำวันพุธที่ 18 ธันวาคม 2567
นักวิจัยด้านความปลอดภัยทางไซเบอร์จากบริษัท QiAnXin ในประเทศจีนได้เปิดเผยแบ็คดอร์ PHP ขั้นสูงชื่อ **Glutton** ซึ่งเป็นเครื่องมือใหม่ของกลุ่ม **Winnti** ที่เชื่อมโยงกับจีน โดยแบ็คดอร์นี้กำหนดเป้าหมายในหลายประเทศ เช่น จีน สหรัฐอเมริกา กัมพูชา ปากีสถาน และแอฟริกาใต้ โดย Glutton ถูกออกแบบมาในลักษณะโมดูลาร์ เพื่อหลบเลี่ยงการตรวจจับ โดยการทำงานทั้งหมดเกิดขึ้นในโค้ด PHP ซึ่งรวมถึงการใช้ฟีเจอร์ PHP-FPM ที่ทำให้มัลแวร์ไม่ทิ้งไฟล์หรือร่องรอยดิจิทัลแบบเดิม ๆ ไว้ในระบบ เมื่อถูกนำไปใช้งาน มัลแวร์สามารถฉีดโค้ดอันตรายเข้าสู่เฟรมเวิร์ก PHP ที่ได้รับความนิยม เช่น Baota, ThinkPHP, Yii และ Laravel จากเบาะแสของ Glutton เคยถูกค้นพบครั้งแรกในเดือนธันวาคม 2023 เมื่อนักวิจัยพบกิจกรรมผิดปกติที่เชื่อมโยงกับที่อยู่ IP ซึ่งกระจายแบ็คดอร์ที่พุ่งเป้าไปยังระบบ Unix การวิเคราะห์เพิ่มเติมเผยให้เห็นเพย์โหลด PHP ที่เป็นอันตราย และโครงสร้างพื้นฐานการโจมตีที่ซับซ้อน
แม้จะมีจุดอ่อนในด้านความลับและการดำเนินการ แต่นักวิจัยของ QiAnXin เชื่อว่า Glutton อาจเป็นฝีมือของกลุ่ม Winnti โดยมีหลักฐานจากตัวอย่างโค้ดและการสื่อสารผ่านโปรโตคอล C2 อย่างไรก็ตาม คุณภาพของมัลแวร์ยังต่ำกว่ามาตรฐานปกติของกลุ่ม Winnti เช่น การใช้โค้ด PHP แบบข้อความธรรมดา ซึ่งกลุ่ม Winnti หรือที่รู้จักในชื่อ APT41 เป็นกลุ่มที่มีความเชื่อมโยงกับรัฐบาลจีน ซึ่งดำเนินการทั้งในฐานะผู้โจมตีในนามของรัฐ และในฐานะอาชญากรไซเบอร์อิสระ โดยมัลแวร์ของกลุ่มเคยถูกใช้โจมตีบริษัทการพนันในจีน รัฐบาล และองค์กรต่าง ๆ ทั่วโลก และจากรายงานของ QiAnXin ระบุว่า Glutton อาจถูกใช้เพื่อตอบโต้กลุ่มอาชญากรไซเบอร์อื่น ๆ โดยการใช้โครงสร้างพื้นฐานของภัยคุกคามรายอื่นเพื่อปกปิดร่องรอยของตนเอง ซึ่งสอดคล้องกับแนวโน้มที่ Microsoft เคยพบว่า กลุ่ม APT Turla ที่เชื่อมโยงกับรัสเซีย ก็เคยใช้โครงสร้างพื้นฐานจากกลุ่มอื่นเช่นกัน สำหรับข้อแนะนำเพื่อการป้องกันนั้น ผู้ดูแลระบบควรเฝ้าระวังช่องโหว่ในระบบ PHP และเฟรมเวิร์กต่าง ๆ รวมถึงอัปเดตแพลตฟอร์มและซอฟต์แวร์ให้ทันสมัยอย่างต่อเนื่อง เพื่อป้องกันการโจมตีที่มีการพัฒนาในรูปแบบซับซ้อนมากขึ้นในปัจจุบัน
แหล่งข่าว https://cyberscoop.com/glutton-php-backdoor-winnti-apt-41-china/
