С февраля по май 2025 года исследователи зафиксировали активные атаки на систему управления контентом Craft CMS через уязвимость CVE-2025-32432, позволяющую выполнять произвольный код без аутентификации. Злоумышленники, связанные с группировкой Mimo, используют эксплойт для загрузки криптомайнера, прокси-софта и скрытых шелл-скриптов.
Описание
Аналитики безопасности обнаружили активную эксплуатацию критической уязвимости CVE-2025-32432 в системе управления контентом Craft CMS. Злоумышленники, связанные с известной группировкой Mimo, используют эту брешь для внедрения сложного вредоносного комплекса.
Уязвимость, получившая максимальный балл опасности (10.0 по шкале CVSS), позволяет выполнять произвольный код без необходимости аутентификации. Атака начинается с внедрения веб-шелла через специально сформированный GET-запрос с PHP-инъекцией. После получения доступа к системе злоумышленники загружают и выполняют скрипт 4l4md4r.sh, используя различные методы загрузки, включая curl, wget или Python.
Особенностью атаки стало использование злоумышленниками необычного псевдонима "fbi" для библиотеки urllib2 в Python-коде, что может быть насмешкой над правоохранительными органами.
Вредоносный скрипт выполняет комплекс действий: удаляет конкурирующие майнеры, останавливает процессы, связанные с прокси-сервисами, находит доступные для записи директории и загружает основной исполняемый файл 4l4md4r. Этот файл, упакованный с помощью UPX, написан на Go и не содержит попыток скрыть свою функциональность.
Основная нагрузка включает три компонента: механизм скрытия процессов через перехват системных функций, прокси-бот IPRoyal для монетизации трафика жертвы и криптомайнер XMRig, настроенный на пул MoneroOcean. Для маскировки своей активности злоумышленники используют технику перехвата функций readdir и getpid через LD_Preload.
Группировка Mimo, также известная как Hezb, активна с 2022 года и специализируется на эксплуатации уязвимостей для добычи криптовалют. В 2023 году они также использовали Minus ransomware, основанный на открытом проекте MauriCrypt.
Для защиты от этой угрозы рекомендуется немедленно обновить Craft CMS до патченных версий (3.9.15, 4.14.15 или 5.6.17), мониторить подозрительные POST-запросы и проверять системы на наличие характерных артефактов атаки. Особое внимание следует уделить файлам 4l4md4r, alamdar.so и процессам xmrig.
Индикаторы компрометации
URLs
- http://15.188.246.198/4l4md4r.sh
- http://15.188.246.198/alamdar.so
- http://15.188.246.198/alamdar.x86_64
- http://15.188.246.198/hezb.x86_64
Emails
SHA256
- 1aa4d88a38f5a27a60cfc6d6995f065da074ee340789ed00ddc29abc29ea671e
- 2e46816450ad1b4baa85e2a279031f37608657be93e1095238e2b6c36bbb3fd5
- 3a71680ffb4264e07da4aaca16a3f8831b9a30d444215268e82b2125a98b94aa
- 7868cb82440632cc4fd7a451a351c137a39e1495c84172a17894daf1d108ee9a
- fc04f1ef05847607bce3b0ac3710c80c5ae238dcc7fd842cd15e252c18dd7a62
