Масштабная кража учетных данных через уязвимость Laravel Livewire

24 мая 2026 года была зафиксирована масштабная киберкампания, направленная на приложения Laravel Livewire и использующая уязвимость CVE-2025-54068. По данным отчета, под удар в основном попали версии вплоть до v3.6.3. Атака привела к компрометации учетных данных, эксфильтрации конфиденциальных файлов и массовому сбору данных из тысяч приложений в разных секторах экономики.

Что известно об уязвимости

CVE-2025-54068 представляет собой критическую уязвимость, связанную с недостаточной проверкой обновлений свойств компонентов в процессе гидратации. Это позволяет неаутентифицированным злоумышленникам внедрять вредоносные сериализованные объекты PHP, что в конечном итоге может привести к выполнению произвольного кода при десериализации.

Именно этот механизм был использован атакующим для запуска полезной нагрузки, которая загружала и выполняла Bash-скрипт с сервера управления (C2).

Как развивалась атака

Судя по анализу захваченной полезной нагрузки, злоумышленник применял цепочки гаджетов PHPGGC. Эти цепочки используют уже существующие легитимные классы PHP в приложениях Laravel, превращая их в инструмент для реализации deserialization-атаки.

Вредоносный Bash-скрипт, идентифицированный как shoc.enz, имел небольшой размер — всего 5 269 байт. Несмотря на компактность, он выполнял роль credential stealer и был рассчитан на скрытную эксплуатацию компрометированных систем.

Что делал вредоносный скрипт

После запуска shoc.enz выполнял несколько последовательных действий:

  • создавал временный рабочий каталог;
  • проверял, не запущены ли другие экземпляры;
  • искал конфиденциальные файлы .env, содержащие критически важные конфигурационные данные;
  • архивировал найденные файлы;
  • эксфильтровал данные по нескольким каналам C2;
  • очищал следы, чтобы затруднить последующий криминалистический анализ.

Таким образом, кампания была ориентирована не только на кражу учетных данных, но и на максимально незаметное извлечение чувствительной информации из скомпрометированных приложений.

Масштаб компрометации

Анализ показал, что более 6167 приложений в различных секторах оказались затронуты кампанией. Среди них — решения в сферах:

  • e-commerce;
  • healthcare;
  • financial services;
  • government agencies.

Кроме того, в распоряжении злоумышленников находились более 1850 database dumps и обширные списки электронных адресов, что указывает на активное использование украденных учетных данных в дальнейших атаках или перепродаже данных.

Кто может стоять за атакой

Отчет указывает на индикаторы, связывающие кампанию с индонезийским злоумышленником. Среди таких признаков — лингвистические элементы в коде malware, а также метаданные, связанные с инфраструктурой C2. В частности, упоминаются учетные записи в Telegram и адрес электронной почты, который ранее фигурировал в нескольких утечках на подпольных форумах.

Хотя подобные признаки сами по себе не являются окончательным доказательством атрибуции, их совокупность существенно повышает вероятность связи с одной и той же группой или оператором.

Почему кампания была особенно опасной

Особую тревогу вызывает то, что целевые приложения охватывали широкий спектр развертываний Laravel — от платформ, связанных с онлайн-гемблингом и образованием, до решений для логистики. Это подтверждает безразборчивый характер сканирования и эксплуатации уязвимости.

По сути, любая организация, использующая неподготовленные версии Laravel Livewire v3, могла стать потенциальной жертвой этой кампании.

“Любая организация, использующая неподготовленные версии Laravel Livewire v3, могла стать потенциальной жертвой.”

Вывод

Эта операция наглядно показывает, насколько серьезными могут быть последствия эксплуатации уязвимостей в широко используемых фреймворках. Даже один недостаток в механизме обработки компонентов способен привести к массовой компрометации, краже конфиденциальных данных и долговременному ущербу для организаций из самых разных отраслей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: