Mimo 回归：CVE-2025-32432 被用于加密货币挖矿和代理软件活动

Ots安全 2025-05-28 06:35

Sekoia 最新的威胁情报报告揭露了一起针对 CVE-2025-32432 的攻击活动。CVE-2025-32432 是一个影响 Craft CMS 平台的严重未经身份验证的远程代码执行 (RCE) 漏洞。此次攻击的幕后黑手是 Mimo 或 Hezb，他们部署了一套由 Webshell、加载器、挖矿程序和代理软件组成的恶意软件组合，以最大限度地利用受感染的系统牟利。

2 月 28 日至 5 月 2 日期间，研究人员观察到 Mimo 在野外利用此漏洞，使用多阶段感染链来传递一个名为“alamdar”的基于 Golang 的加载程序，然后安装 XMRig 矿工和 IPRoyal 代理软件。

该漏洞影响 Craft CMS 版本
– 3.0.0-RC1 至 <3.9.15

• 4.0.0-RC1 至 <4.14.15

• 5.0.0-RC1 至 <5.6.17

该漏洞由Orange Cyberdefense发现，并于 2025 年 4 月 25 日公开披露。攻击者可以通过精心设计的 HTTP 请求，实现未经身份验证的远程代码执行 (RCE)。Sekoia 表示：

“攻击者利用 CVE-2025-32432 漏洞，通过部署 webshell 实现远程访问，从而获得对目标系统的未授权访问。”

两步攻击序列使用精心设计的 GET 请求来注入基于 PHP 的 webshell，然后使用 POST 请求来触发反序列化错误，从而允许执行 shell 命令。

一旦进入系统，攻击者就会获取并执行远程感染脚本 (4l4md4r.sh)。该脚本会执行系统侦察、终止竞争恶意软件并下载三个组件：
– Alamdar 加载器（ELF 二进制文件）

• IPRoyal 代理软件 (hezb.x86_64)

• XMRig 加密货币矿工（alamdar）

该脚本执行已下载的名为 4l4md4r 的二进制文件……加载程序下载并执行住宅代理二进制文件 IPRoyal……以及 XMRig 矿工。

该加载程序使用恶意.so 库（alamdar.so）进行 LD_PRELOAD 劫持，通过拦截 readdir 和 getpid 等系统调用来隐藏其存在。

Mimo 的双重货币化策略反映了资源精明的网络犯罪分子的一种趋势：挖掘加密货币并通过住宅代理服务出售网络带宽。
– XMRig：通过 MoneroOcean 矿池挖掘门罗币。

• 钱包：46HmQz11t8uN84P8xg…

• 每周收益：约 9.45 美元

• IPRoyal Pawns：

• 秘密地将受害者的 IP 地址货币化。

• 静默接受登录凭证和 TOS 接受。

“这一战略体现了一种务实的资源货币化方法，从计算能力和带宽中提取价值。”

通过广泛的 OSINT 和 IoC 分析，Sekoia 将此活动与 Mimo 入侵集联系起来——该入侵集至少自 2022 年以来一直活跃。别名 EtxArny 和 N1tr0 被认为是可能的操作员，基于以下几点：
– TikTok 视频展示了 CVE 漏洞。

• 在代码和社交媒体中使用别名“4l4md4r”和“Hezb”。

• 共享加密货币钱包和基础设施。

“以别名‘EtxArny’运营的 TikTok 账户似乎采用了这种符号图案……并且可能与 Mimo 入侵组织有关。”

敦促运行 Craft CMS 的组织立即修补，检查日志中的 IOC 模式，并对系统二进制文件和出站连接实施严格控制。

感谢您抽出

.

.

来阅读本文

点它，分享点赞在看都在这里