Yeni PHP Tabanlı Arka Kapı “Glutton” Keşfedildi: Siber Suçlulara Karşı Kullanılan Araç
Siber güvenlik araştırmacıları, “Glutton” adlı yeni bir PHP tabanlı arka kapının, Çin, ABD, Kamboçya, Pakistan ve Güney Afrika’daki hedeflere yönelik siber saldırılarda kullanıldığını ortaya çıkardı.
Bu kötü amaçlı yazılım, QiAnXin XLab tarafından 2024 yılı Nisan ayı sonunda keşfedildi. Araştırmacılar, bu yeni zararlıyı “Winnti” (diğer adıyla APT41) olarak bilinen Çin merkezli bir ulus-devlet destekli gruba, orta düzeyde bir güvenle atfetti. Ancak, bu kötü amaçlı yazılımın asıl hedefi şaşırtıcıydı.
Siber Suçluları Hedef Alan Kötü Amaçlı Yazılım
QiAnXin XLab, araştırmalarında Glutton’un yaratıcılarının, siber suç pazarındaki sistemleri özellikle hedef aldığını belirledi. Şirketin açıklamasına göre, saldırganlar bu yöntemle “siber suçluların kendi araçlarını onlara karşı kullanarak” bir tür intikam stratejisi uyguladı. Bu, “hırsızlar arasında onur yoktur” anlayışını bir kez daha doğruluyor.
Glutton, hassas sistem bilgilerini toplamak, ELF tabanlı bir arka kapı bileşeni yerleştirmek ve popüler PHP framework’lerine (örneğin Baota (BT), ThinkPHP, Yii, ve Laravel) kod enjeksiyonu yapmak üzere tasarlandı. Ayrıca, ELF tabanlı kötü amaçlı yazılımın, Winnti’nin daha önce bilinen bir aracı olan PWNLNX ile neredeyse birebir benzerlik taşıdığı kaydedildi.
Glutton’un Eksiklikleri ve Atipik Özellikleri
Winnti ile bağlantı kurulmasına rağmen, araştırmacılar bu yeni arka kapının gruba kesin bir şekilde atfedilemeyeceğini vurguladı. Bunun nedeni, Glutton’un genellikle Winnti ile ilişkilendirilen gizlilik tekniklerinden yoksun olmasıydı. QiAnXin XLab, bu durumu “alışılmadık derecede düşük kalite” olarak değerlendirdi.
Eksiklikler arasında şunlar dikkat çekiyor:
Komut ve kontrol (C2) iletişimlerinin şifrelenmemesi,
Yüklerin indirilmesi için HTTP (HTTPS yerine) kullanılması,
Örneklerde herhangi bir gizleme tekniğinin (obfuscation) bulunmaması.
Saldırı Zinciri ve Modüler Yapı
Glutton, modüler bir kötü amaçlı yazılım çerçevesi olarak öne çıkıyor. Hedef sistemlerde PHP dosyalarını enfekte edebiliyor ve arka kapılar yerleştirebiliyor. Başlangıç erişimi genellikle sıfır-gün (zero-day) ve bilinen açıkların (N-day) istismarı ile brute-force saldırıları yoluyla sağlanıyor.
Daha ilginç bir yöntem ise, siber suç forumlarında, PHP dosyalarına arka kapılar enjekte edilmiş “l0ader_shell” içeren kurumsal sistemleri reklam vererek yayılması. Bu yöntem, saldırganların diğer siber suçlulara karşı saldırılar düzenlemesine olanak tanıyor.
Saldırı zincirinin kritik bileşenlerinden biri olan “task_loader”, çalışma ortamını değerlendiriyor ve ek bileşenleri indiriyor. Bunlar arasında şunlar yer alıyor:
“init_task”: ELF tabanlı bir arka kapıyı indirip PHP dosyalarını enfekte ediyor, hassas bilgileri topluyor ve sistem dosyalarını değiştiriyor.
“client_loader”: Daha güncel bir ağ altyapısı kullanan ve bir arka kapılı istemciyi indirip çalıştırma yeteneğine sahip bir versiyon.
Sistem dosyalarını, örneğin “/etc/init.d/network”, kalıcılık sağlamak amacıyla değiştiriyor.
Geniş Yetkinliklere Sahip Arka Kapı
Glutton’un PHP arka kapısı, toplamda 22 farklı komut desteği sunuyor. Bu komutlar şunları içeriyor:
TCP ve UDP bağlantıları arasında geçiş yapma,
Shell başlatma,
Dosya yükleme/indirme,
Dosya ve dizin işlemleri gerçekleştirme,
Keyfi PHP kodu çalıştırma.
Ayrıca, C2 sunucusuyla düzenli olarak iletişim kurarak yeni PHP yüklerini indirebiliyor ve çalıştırabiliyor. Bu özellikler, kötü amaçlı yazılımın tamamen PHP veya PHP-FPM (FastCGI) süreçleri içerisinde çalışmasını sağlıyor ve geride hiçbir dosya izi bırakmadan saldırıların gerçekleştirilmesine olanak tanıyor.
Siber Suçluları Gözetleme Amaçlı “HackBrowserData” Kullanımı
Glutton’un başka bir dikkat çekici yönü ise, siber suçluların kullandığı sistemlerde hassas bilgileri çalmak için HackBrowserData aracını kullanması. Bu bilgiler, muhtemelen gelecekte gerçekleştirilecek oltalama (phishing) veya sosyal mühendislik saldırılarını planlamak amacıyla toplanıyor.
QiAnXin XLab, bu durumu şu şekilde özetliyor:
“Glutton, yalnızca geleneksel hedeflere saldırmakla kalmayıp, siber suç kaynaklarını da hedef alarak saldırganların kendi araçlarını onlara karşı çevirmeyi amaçlıyor.”
APT41 ve Yeni Araçlar: Mélofée
Bu gelişme, QiAnXin XLab’ın birkaç hafta önce “Mélofée” adlı başka bir APT41 kötü amaçlı yazılımının güncellenmiş versiyonunu detaylandırmasının ardından geldi. Mélofée, kalıcılığı artırmak için gelişmiş mekanizmalar içeriyor ve RC4 ile şifrelenmiş bir çekirdek sürücü barındırıyor. Bu sürücü, dosyaları, süreçleri ve ağ bağlantılarını gizlemek için kullanılıyor.
Linux tabanlı bu arka kapı, cihaz bilgileri toplama, süreç yönetimi, shell başlatma, dosya ve dizin işlemleri gerçekleştirme gibi çeşitli komutları yürütmek üzere tasarlanmış durumda. XLab, Mélofée’nin işlevselliğini basit ancak etkili olarak tanımladı ve sınırlı örnek sayısının, bu aracın yalnızca yüksek değerli hedeflere yönelik kullanıldığını gösterdiğini belirtti.