Аналитический центр AhnLab Security (ASEC) сообщает о новом обнаружении вредоносного ПО, созданного с использованием интерпретатора JPHP.
Описание
JPHP - это интерпретатор с открытым исходным кодом, который позволяет использовать код на языке PHP в среде Java.
Он компилирует PHP-код в байт-код Java и позволяет взаимодействовать с библиотеками Java. Вредоносное ПО, найденное ASEC, было распространено в виде ZIP-файла, содержащего Java Runtime Environment (JRE) и список библиотек. При запуске, вредоносная программа использует JRE для запуска Java-файлов, расположенных в папке "lib\".
Она использует Telegram в качестве канала коммуникации с командным и контрольным сервером (C2). Дополнительные C2-серверы загружаются через веб-страницу и используются для загрузки и выполнения дополнительного вредоносного ПО.
По результатам анализа, вредоносное ПО, разработанное с использованием JPHP, способно выполнять различные действия, включая утечку данных.
Indicators of Compromise
MD5
- 1b5548083e151b54a63cb933d5cbe274
- 230c1d520f88a66698d522805bafe883
- 4a54c8367d6cf067fbad8ce3da50b65e
- c2d457714e7079fa6b423156071a3860
- d87a34d70a672339d6b8c7b563eb8e7d