ΑρχικήSecurityΟι Κινέζοι hackers Winnti στοχεύουν άλλους hackers με το Glutton backdoor

Οι Κινέζοι hackers Winnti στοχεύουν άλλους hackers με το Glutton backdoor

Οι Κινέζοι hackers Winnti χρησιμοποιούν ένα νέο backdoor PHP που ονομάζεται «Glutton» και στοχεύουν οργανισμούς στην Κίνα και τις ΗΠΑ, καθώς και άλλους εγκληματίες του κυβερνοχώρου.

Κινέζοι hackers Winnti Glutton backdoor

Η κινεζική εταιρεία ασφαλείας QAX’s XLab ανακάλυψε το νέο κακόβουλο λογισμικό στα τέλη Απριλίου 2024, αλλά φαίνεται να έχει αναπτυχθεί τουλάχιστον από τον Δεκέμβριο του 2023.

Οι ερευνητές παρατήρησαν ότι ενώ το Glutton είναι ένα προηγμένο backdoor, έχει αξιοσημείωτες αδυναμίες στο stealth και στην κρυπτογράφηση, κάτι που μπορεί να αποτελεί ένδειξη ότι βρίσκεται σε πρώιμο στάδιο ανάπτυξης.

Οι Κινέζοι hackers Winnti, γνωστοί και ως APT41, είναι μια διαβόητη κρατική ομάδα hacking, γνωστή για τις εκστρατείες κυβερνοκατασκοπείας και τις κλοπές οικονομικών στοιχείων.

#secnews #saturn #moon 

Στις 4 Ιανουαρίου, ο Κρόνος κρύφτηκε για λίγο πίσω από την ημισέληνο, στα πλαίσια ενός φαινομένου που είναι γνωστό ως σεληνιακή απόκρυψη. Όταν ένα ουράνιο σώμα, όπως ένα φεγγάρι, ένας πλανήτης ή ένας αστεροειδής περνά μπροστά από ένα άλλο ουράνιο σώμα και εμποδίζει την θέα του (στην περίπτωση αυτή, τον Κρόνο), ονομάζεται απόκρυψη.

Ο Ιταλός αστρονόμος Gianluca Masi μοιράστηκε μια φωτογραφία που τραβήχτηκε κατά τη διάρκεια του φαινομένου, χρησιμοποιώντας το Virtual Telescope Project στο Manciano της Ιταλίας.

Μάθετε περισσότερα: https://www.secnews.gr/637881/seliniaki-apokripsi-kronos-kriftike-piso-apo-feggari/

00:00 Εισαγωγή 
00:15 Σεληνιακή απόκρυψη - φωτογραφία
01:39 Σημασία μελέτης σεληνιακών αποκρύψεων

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #saturn #moon

Στις 4 Ιανουαρίου, ο Κρόνος κρύφτηκε για λίγο πίσω από την ημισέληνο, στα πλαίσια ενός φαινομένου που είναι γνωστό ως σεληνιακή απόκρυψη. Όταν ένα ουράνιο σώμα, όπως ένα φεγγάρι, ένας πλανήτης ή ένας αστεροειδής περνά μπροστά από ένα άλλο ουράνιο σώμα και εμποδίζει την θέα του (στην περίπτωση αυτή, τον Κρόνο), ονομάζεται απόκρυψη.

Ο Ιταλός αστρονόμος Gianluca Masi μοιράστηκε μια φωτογραφία που τραβήχτηκε κατά τη διάρκεια του φαινομένου, χρησιμοποιώντας το Virtual Telescope Project στο Manciano της Ιταλίας.

Μάθετε περισσότερα: https://www.secnews.gr/637881/seliniaki-apokripsi-kronos-kriftike-piso-apo-feggari/

00:00 Εισαγωγή
00:15 Σεληνιακή απόκρυψη - φωτογραφία
01:39 Σημασία μελέτης σεληνιακών αποκρύψεων

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

1

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmEzY3ktNHFtOGdz

Νέα εικόνα: Πώς ο Κρόνος κρύφτηκε πίσω από το φεγγάρι!

SecNewsTV 13 hours ago

#secnews #tiktok 

Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή; Το TikTok φέρεται να ετοιμάζεται για άμεσο και πλήρες κλείσιμο την Κυριακή 19 Ιανουαρίου, σύμφωνα με το The Information. Άτομα που γνωρίζουν το θέμα είπαν στη δημοσίευση ότι η εφαρμογή θα απενεργοποιηθεί απότομα στις ΗΠΑ μετά από πιθανή απαγόρευση, αντί να παραμείνει λειτουργική για άτομα που την έχουν ήδη κατεβάσει. Αυτό σημαίνει ότι εάν είστε χρήστης του TikTok στις ΗΠΑ, μπορεί να χάσετε εντελώς τη λειτουργικότητα την Κυριακή, εκτός εάν το Ανώτατο Δικαστήριο παρέμβει και μπλοκάρει την επερχόμενη απαγόρευση.

00:00 Εισαγωγή
00:48 Τερματισμός λειτουργίας?
01:30 Φήμες για τον Elon Musk

Μάθετε περισσότερα: https://www.secnews.gr/637731/tiktok-proetoimazetai-ameso-kleisimo-ipa-kiriaki/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #tiktok

Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή; Το TikTok φέρεται να ετοιμάζεται για άμεσο και πλήρες κλείσιμο την Κυριακή 19 Ιανουαρίου, σύμφωνα με το The Information. Άτομα που γνωρίζουν το θέμα είπαν στη δημοσίευση ότι η εφαρμογή θα απενεργοποιηθεί απότομα στις ΗΠΑ μετά από πιθανή απαγόρευση, αντί να παραμείνει λειτουργική για άτομα που την έχουν ήδη κατεβάσει. Αυτό σημαίνει ότι εάν είστε χρήστης του TikTok στις ΗΠΑ, μπορεί να χάσετε εντελώς τη λειτουργικότητα την Κυριακή, εκτός εάν το Ανώτατο Δικαστήριο παρέμβει και μπλοκάρει την επερχόμενη απαγόρευση.

00:00 Εισαγωγή
00:48 Τερματισμός λειτουργίας?
01:30 Φήμες για τον Elon Musk

Μάθετε περισσότερα: https://www.secnews.gr/637731/tiktok-proetoimazetai-ameso-kleisimo-ipa-kiriaki/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmwzLW9hN1dmOEZ3

Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή;

SecNewsTV 15 Ιανουαρίου 2025, 20:49 20:49

Δείτε επίσης: Κινέζοι hackers βρίσκονταν σε δίκτυο αμερικανικού οργανισμού για 4 μήνες

Η ομάδα δραστηριοποιείται τουλάχιστον από το 2012 και έχει επιτεθεί σε εταιρείες/οργανισμούς σε διάφορους τομείς, συμπεριλαμβανομένου του gaming, της φαρμακευτικής και των τηλεπικοινωνιών. Έχει, επίσης, επιτεθεί σε πολιτικές οργανώσεις και κυβερνητικές υπηρεσίες.

Glutton PHP backdoor

Το Glutton είναι ένα ELF-based modular backdoor που παρέχει ευελιξία και μυστικότητα στους Κινέζους hackers Winnti. Μπορούν να ενεργοποιούν συγκεκριμένα στοιχεία για προσαρμοσμένες επιθέσεις.

Τα βασικά του στοιχεία είναι:

  • Το ‘task_loader‘, το οποίο καθορίζει το περιβάλλον
  • Το ‘init_task,’ που εγκαθιστά το Glutton PHP backdoor
  • Το ‘client_loader‘, που φροντίζει για το obfuscation για την αποφυγή εντοπισμού
  • Το ‘client_task‘, που λειτουργεί το PHP backdoor και επικοινωνεί με τον διακομιστή εντολών και ελέγχου (C2)

Αυτά τα payloads είναι εξαιρετικά modular, ικανά να λειτουργούν ανεξάρτητα ή να εκτελούνται διαδοχικά μέσω του task_loader για να σχηματίσουν ένα ολοκληρωμένο πλαίσιο επίθεσης“, εξηγεί το XLab.

Όλη η εκτέλεση κώδικα πραγματοποιείται εντός των διαδικασιών PHP ή PHP-FPM (FastCGI), διασφαλίζοντας ότι δεν μένουν πίσω τα file payloads και επιτυγχάνοντας έτσι ένα μυστικό αποτύπωμα“.

Δείτε επίσης: Κινέζοι hackers στοχεύουν Θιβετιανές οργανώσεις με Malware

Το backdoor, το οποίο μεταμφιέζεται ως ‘php-fpm‘ process, διευκολύνει την fileless εκτέλεση και εισάγει κακόβουλο κώδικα (‘l0ader_shell’) σε αρχεία PHP στα frameworks ThinkPHP, Yii, Laravel και Dedecms.

Το Glutton backdoor τροποποιεί αρχεία συστήματος όπως το ‘/etc/init.d/network‘ για να εδραιώσει το persistence μεταξύ των επανεκκινήσεων και μπορεί επίσης να τροποποιήσει τα αρχεία του πίνακα Baota για να διατηρήσει την πρόσβαση και να κλέψει credentials και configurations.

Το κακόβουλο λογισμικό μπορεί επίσης να εξάγει πληροφορίες συστήματος και δεδομένα από το σύστημα αρχείων.

Το Glutton backdoor των Κινέζων hackers Winnti υποστηρίζει 22 εντολές που λαμβάνονται από τον διακομιστή C2. Αυτές οι εντολές επιτρέπουν:

  • Δημιουργία, ανάγνωση, εγγραφή, διαγραφή και τροποποίηση αρχείων
  • Εκτέλεση shell commands
  • Αξιολόγηση κώδικα PHP
  • Σάρωση καταλόγων συστήματος
  • Ανάκτηση host metadata
  • Εναλλαγή μεταξύ συνδέσεων TCP και UDP
  • Ενημέρωση διαμόρφωσης C2

Στόχευση άλλων εγκληματιών στον κυβερνοχώρο

Η XLab λέει ότι οι hackers Winnti έχουν αναπτύξει το Glutton σε στόχους στην Κίνα και τις ΗΠΑ, στοχεύοντας κυρίως υπηρεσίες πληροφορικής, οργανισμούς κοινωνικής ασφάλισης και προγραμματιστές εφαρμογών ιστού.

Ωστόσο, η ομάδα χρησιμοποιεί το backdoor για να στοχεύσει και άλλους hackers, ενσωματώνοντάς το σε πακέτα λογισμικού που πωλούνται σε cybercrime forums. Αυτά τα πακέτα λογισμικού υποδύονται συστήματα gaming και τυχερών παιχνιδιών, πλαστά ανταλλακτήρια κρυπτονομισμάτων και click-farming platforms.

Μόλις μολυνθούν τα συστήματα των κυβερνοεγκληματιών, το Glutton backdoor αναπτύσσει το εργαλείο «HackBrowserData» για να εξάγει ευαίσθητες πληροφορίες από προγράμματα περιήγησης ιστού (π.χ. κωδικούς πρόσβασης, cookies, πιστωτικές κάρτες, ιστορικό λήψεων και ιστορικό περιήγησης).

Δείτε επίσης: Οι Κινέζοι hackers Volt Typhoon “ανακατασκευάζουν” το KV-Botnet

Η XLabs μοιράστηκε δείκτες παραβίασης που σχετίζονται με αυτήν την καμπάνια Winnti, η οποία βρίσκεται σε εξέλιξη για περισσότερο από ένα χρόνο.

Προστασία από backdoor

Οι οργανισμοί μπορούν να προστατεύσουν τα δίκτυά τους από το Glutton backdoor, εφαρμόζοντας διάφορες στρατηγικές ασφάλειας. Καταρχάς, είναι σημαντικό να διατηρούν τα συστήματά τους ενημερωμένα. Αυτό σημαίνει ότι θα πρέπει να εγκαθιστούν τακτικά τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας σε όλα τα λειτουργικά συστήματα και τις εφαρμογές.

Επιπλέον, οι οργανισμοί πρέπει να χρησιμοποιούν λύσεις ασφάλειας που περιλαμβάνουν την ανίχνευση εισβολών και την προστασία από κακόβουλο λογισμικό. Αυτές οι λύσεις μπορούν να βοηθήσουν στην ανίχνευση και την αποτροπή των επιθέσεων.

Η εκπαίδευση του προσωπικού είναι επίσης κρίσιμη για την αποφυγή του Glutton backdoor. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.

Τέλος, πρέπει να εφαρμόζεται η αρχή της ελάχιστης πρόσβασης. Αυτό σημαίνει ότι οι χρήστες και οι συσκευές πρέπει να έχουν μόνο τις απαραίτητες άδειες πρόσβασης που χρειάζονται για την εκτέλεση των καθηκόντων τους.

πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS