金銭的動機を持つ脅威アクターが、Craftコンテンツ管理システム(CMS)に影響を与える最近公開されたリモートコード実行の脆弱性を悪用し、暗号通貨マイナー、Mimo Loaderと呼ばれるローダー、住宅プロキシウェアを含む複数のペイロードを展開していることが観察されています。
問題の脆弱性はCVE-2025-32432であり、Craft CMSの最大の深刻度の欠陥で、バージョン3.9.15、4.14.15、5.6.17で修正されました。このセキュリティ欠陥の存在は、2025年4月にOrange Cyberdefense SensePostによって初めて公開され、今年2月に攻撃で観察されました。
Sekoiaによって発表された新しいレポートによると、このキャンペーンの背後にいる脅威アクターは、CVE-2025-32432を武器化してターゲットシステムへの不正アクセスを取得し、その後、持続的なリモートアクセスを可能にするためにウェブシェルを展開しました。
ウェブシェルは、その後、curl、wget、またはPythonライブラリurllib2を使用して、リモートサーバーからシェルスクリプト(「4l4md4r.sh」)をダウンロードして実行するために使用されます。
「Pythonの使用に関して、攻撃者はurllib2ライブラリをfbiというエイリアスでインポートしています。この異常な命名選択は、意図的な参照、恐らくアメリカの連邦機関への皮肉な言及である可能性があり、際立ったコーディング選択として目立ちます」とSekoiaの研究者Jeremy ScionとPierre Le Bourhisは述べました。
「この命名規則は、特に脅威ハンティングや疑わしいPython活動の遡及的分析において、検出のための有用な指標として機能する可能性があります。」
シェルスクリプトは、まず指標や以前の感染をチェックし、既知の暗号通貨マイナーのバージョンをアンインストールします。また、次の段階のペイロードを配信し、「4l4md4r」という名前のELFバイナリを起動する前に、すべてのアクティブなXMRigプロセスや他の競合する暗号マイニングツールを終了させます。
Mimo Loaderとして知られる実行可能ファイルは、動的リンカによって読み取られるファイル「/etc/ld.so.preload」を変更して、マルウェアプロセス(「alamdar.so」)の存在を隠します。ローダーの最終的な目的は、侵害されたホストにIPRoyalプロキシウェアとXMRigマイナーを展開することです。
これにより、脅威アクターは不正な暗号通貨マイニングのためにシステムリソースを悪用するだけでなく、被害者のインターネット帯域幅を他の悪意のある活動のために収益化することができます。これらの技術はそれぞれクリプトジャッキングとプロキシジャッキングと呼ばれます。
この脅威活動は、Mimo(別名Mimo)と呼ばれる侵入セットに帰属されており、2022年3月から活動していると考えられ、以前はApache Log4j(CVE-2021-44228)、Atlassian Confluence(CVE-2022-26134)、PaperCut(CVE-2023–27350)、Apache ActiveMQ(CVE-2023-46604)の脆弱性を利用してマイナーを展開していました。
AhnLabが2024年1月に発表したレポートによると、このハッキンググループは、オープンソースのMauriCryptプロジェクトのフォークであるGoベースの株「Mimus」を使用して、2023年にランサムウェア攻撃を行っていたことも観察されています。
Sekoiaは、攻撃の試みがトルコのIPアドレス(「85.106.113[.]168」)から発信されており、Mimoが物理的にその国に所在する脅威アクターであることを示すオープンソースの証拠を発見したと述べています。
「2022年初頭に初めて特定されたMimo侵入セットは、暗号マイナー展開のための脆弱性の一貫した悪用によって特徴付けられています」とフランスのサイバーセキュリティ会社は述べています。「進行中の調査は、Mimoが引き続き活動しており、新たに公開された脆弱性を引き続き悪用していることを確認しています。」
「CVE-2025-32432の公開、対応する概念実証(PoC)のリリース、およびその後の侵入セットによる採用の間に観察された短期間は、高いレベルの対応力と技術的な敏捷性を反映しています。」
翻訳元: https://thehackernews.com/2025/05/mimo-hackers-exploit-cve-2025-32432-in.html