中国黑客的Glutton PHP后门攻击

关键要点

• 中国的Winnti黑客组织利用新型ELF基于PHP的后门Glutton发动攻击。
• 主要目标包括美国及中国的社会保障、网页应用开发及IT服务机构。
• Glutton被用于数据窃取和代码注入攻击，并提高了对网络犯罪的威胁。

根据的报导，中国国家支持的黑客组织Winnti（又名APT41）使用新型的ELF基于PHP后门Glutton，对美国及中国的组织发动了一系列入侵攻击，特别是在社会保障、网页应用开发以及IT服务领域。这项持续一年多的攻击行动还针对了其他网络威胁行为者。

根据QAX的XLabs研究团队的分析，Glutton不仅针对流行的PHP框架如ThinkPHP、Laravel、Dedecms和Yii进行代码注入攻击，还被利用来从中国的服务器管理工具Baota中窃取数据。许多在网络犯罪论坛中的软件包也被Glutton所渗透，一旦执行，就会促进恶意行为者敏感浏览器数据的外泄，包括凭证、下载和浏览历史、cookie及信用卡信息。XLabs研究人员表示：“当网路罪犯试图在本地调试或修改被后门植入的商业系统时，Glutton的操作者会部署HackBrowserData来窃取高价值的敏感信息，甚至是那些网路罪犯自身所拥有的。这形成了一个递归的攻击链，利用攻击者自身的行为来反制他们。”

攻击手法 | 影响范围 | 使用技术
—|—|—
代码注入攻击 | 社会保障、IT服务等 | Glutton
数据窃取 | 浏览器凭证、历史等 | HackBrowserData

相关连结 : –

该攻击行动不仅对直接受到攻击的机构造成了威胁，还可能影响整个网络生态系统，因为近期的进攻手法展示了黑客如何利用其技术反制其他网络罪犯，使得安全防护工作面临更大挑战。