Mimo黑客利用Craft CMS漏洞(CVE-2025-32432)!挖矿、流量劫持,更演变为勒索软件威胁!

发布于 作者:

Mimo黑客利用Craft CMS漏洞(CVE-2025-32432)!挖矿、流量劫持,更演变为勒索软件威胁!

原创 Hankzheng 技术修道场 2025-06-01 02:39

近期,以经济利益为主要驱动的黑客组织“Mimo”被发现正积极利用Craft CMS内容管理系统中一个新近披露的远程代码执行漏洞(CVE-2025-32432
)。一旦成功利用此“最高级别”漏洞,攻击者会在受害服务器上部署包括XMRig挖矿程序、“Mimo Loader”加载器及IPRoyal住宅代理软件(Proxyware)在内的多重恶意负载,甚至已显露出向勒索软件攻击演变的危险趋势。

漏洞背景

CVE-2025-32432
漏洞已由Craft CMS官方在3.9.15、4.14.15 和 5.6.17
 版本中修复。该漏洞由Orange Cyberdefense SensePost于2025年4月首次公开,但相关在野攻击活动最早可追溯至2025年2月。

Mimo攻击技术细节深度剖析

  1. 初始入侵与Web Shell植入

Mimo组织首先利用CVE-2025-32432
漏洞获取对目标Craft CMS服务器的未授权访问权限,随即部署Web Shell作为持久化远程控制后门。

  1. 恶意脚本下载与独特指纹

攻击者通过Web Shell,使用curl
、wget
或Python的urllib2
库下载并执行远程Shell脚本 4l4md4r.sh
。Sekoia公司的研究员特别指出,在利用Python下载时,攻击者将urllib2
库导入并赋予了别名fbi
。这一罕见且带有挑衅意味的命名(可能影射美国联邦调查局FBI),不仅暴露了攻击者的某些心理特征,更可作为威胁猎捕中识别此类攻击的独特行为指纹。

  1. 环境清理与核心加载器启动

4l4md4r.sh
脚本会先清除受害系统中的其他挖矿程序和进程,确保自身“挖矿”和“代理”业务的独占性,随后投递并启动名为 4l4md4r
 的ELF二进制可执行文件。

  1. Mimo Loader的隐蔽运作与多重负载

4l4md4r
(即“Mimo Loader”)的核心隐蔽伎俩之一是修改Linux系统中的/etc/ld.so.preload
文件。这个文件相当于一个“优先通行证”,能让指定的恶意软件模块(本案中为alamdar.so
)在其他正常程序加载前就被系统悄悄载入,从而达到完美隐藏恶意进程、逃避常规检测的目的。

其最终目标是部署:

  1. XMRig挖矿程序
    进行Cryptojacking,非法消耗服务器算力。

  2. IPRoyal Proxyware
    进行Proxyjacking,即将受害者的互联网带宽资源暗中转售或用于承载其他网络流量(如广告欺诈、注册虚假账户等),为攻击者牟利。

Mimo黑客组织画像:从资源滥用到勒索威胁的演变

Mimo组织自2022年3月以来持续活跃,以快速利用新披露漏洞部署挖矿程序著称,其攻击工具库曾包含针对Apache Log4j (CVE-2021-44228
)、Atlassian Confluence (CVE-2022-26134
)、PaperCut (CVE-2023–27350
)和Apache ActiveMQ (CVE-2023-46604
)等严重漏洞的利用代码。

更为严峻的是,Mimo的攻击野心并未止步于资源滥用。
 根据AhnLab在2024年1月的报告,Mimo组织在2023年已开始部署名为Mimus的Go语言勒索软件(开源MauriCrypt项目的分支)。这一转变标志着Mimo正将其攻击策略从相对“温和”的资源窃取,升级至危害性更大、直接勒索赎金的攻击模式。

Sekoia的研究强调,Mimo组织展现出极高的响应速度和技术敏捷性
,往往在漏洞细节及PoC(概念验证代码)公布后的极短时间内便完成武器化并发起攻击。此次对Craft CMS漏洞的快速利用(源于土耳其IP 85.106.113[.]168
),再次佐证了其高效率的攻击作业链。

紧急应对与防护建议

所有Craft CMS用户:首要且最关键的行动是立即升级您的系统!
1. 立即修补漏洞

请火速检查您的Craft CMS版本,确保已升级至以下或更新的安全版本:

这是抵御此类攻击最直接、最有效的防线。

  1. Craft CMS 3.x: 3.9.15 或更高版本
  2. Craft CMS 4.x: 4.14.15 或更高版本
  3. Craft CMS 5.x: 5.6.17 或更高版本
  4. 全面安全排查与加固

  5. 检查Web Shell
    仔细排查服务器Web目录下是否存在未知或可疑的脚本文件(如PHP, ASPX等Web Shell)。

  6. 监控异常进程与文件
    留意系统中是否存在名为4l4md4r
    、alamdar.so
    的异常进程或文件,以及有无XMRig等挖矿特征。

  7. 审查关键配置文件
    检查/etc/ld.so.preload
    文件内容是否被恶意篡改。

  8. 识别恶意脚本特征
    留意可疑Python脚本活动,特别是包含import urllib2 as fbi
    这类独特指纹的代码。

  9. 强化纵深防御

  10. 部署WAF/IPS
    使用Web应用防火墙(WAF)和入侵防御系统(IPS)拦截已知攻击特征和异常请求。

  11. 严格访问控制
    遵循最小权限原则,限制不必要的网络端口和服务暴露。

  12. 定期审计与监控
    定期审计服务器日志,监控异常网络连接、系统调用及文件变更。

Mimo组织的持续活跃、快速武器化漏洞的能力及其向勒索软件演进的趋势,对所有互联网服务提供者和用户都构成了严峻挑战。请务必保持高度警惕,迅速行动,修补漏洞,加强防御。