Haker koji stoji iza iskorištavanja ranjivih instanci Craft Content Management Systema (CMS) promijenio je svoju taktiku kako bi ciljao Magento CMS i pogrešno konfigurisane Docker instance.
Aktivnost se pripisuje hakeru praćenom kao Mimo (poznat i kao Hezb), koji ima dugu historiju iskorištavanja sigurnosnih propusta N-day u raznim web aplikacijama za implementaciju rudara kriptovaluta.
„Iako je primarna motivacija Mima i dalje finansijska, kroz rudarenje kriptovaluta i monetizaciju propusnog opsega, sofisticiranost njihovih nedavnih operacija ukazuje na potencijalnu pripremu za unosnije kriminalne aktivnosti“, navodi Datadog Security Labs u izvještaju objavljenom ove sedmice.
Mimovo iskorištavanje CVE-2025-32432, kritične sigurnosne greške u Craft CMS-u, za kriptojacking i proxyjacking dokumentovalo je Sekoia u maju 2025. godine.
Novootkriveni lanci napada povezani s prijetnjom uključuju iskorištavanje neutvrđenih PHP-FPM ranjivosti u Magento instalacijama e-trgovine radi dobijanja početnog pristupa, a zatim korištenje istog za uklanjanje GSocket-a , legitimnog alata za testiranje penetracije otvorenog koda, radi uspostavljanja trajnog pristupa hostu putem obrnute ljuske.
„Početni vektor pristupa je ubrizgavanje PHP-FPM naredbe putem Magento CMS dodatka, što ukazuje na to da Mimo posjeduje višestruke mogućnosti iskorištavanja, pored prethodno uočenih napadačkih praksi“, rekli su istraživači Ryan Simon, Greg Foss i Matt Muir.
U pokušaju da zaobiđe detekciju, binarni fajl GSocket se maskira kao legitimna ili nit kojom upravlja kernel, tako da se stopi sa drugim procesima koji se možda izvršavaju na sistemu.
Još jedna značajna tehnika koju koriste napadači je korištenje memorijskih sadržaja pomoću funkcije memfd_create() kako bi se pokrenuo ELF binarni program za učitavanje pod nazivom “4l4md4r” bez ostavljanja ikakvog traga na disku. Program za učitavanje je zatim odgovoran za instaliranje IPRoyal proxyware-a i XMRig minera na kompromitovanom računaru, ali ne prije izmjene datoteke “/etc/ld.so.preload” kako bi se ubacio rootkit koji prikriva prisustvo ovih artefakata.
Distribucija programa za rudarenje kriptovaluta i proxyware- a naglašava dvostruki pristup koji je Mimo usvojio kako bi maksimizirao finansijsku dobit. Različiti tokovi generisanja prihoda osiguravaju da se CPU resursi kompromitovanih mašina iskorištavaju za rudarenje kriptovaluta, dok se neiskorišteni internet propusni opseg žrtava monetizira za ilegalne rezidencijalne proxy usluge.
„Osim toga, upotreba proxyware-a, koji obično troši minimalno CPU-a, omogućava prikriveni rad koji sprečava otkrivanje dodatne monetizacije čak i ako je korištenje resursa kripto rudara ograničeno“, rekli su istraživači. „Ova višeslojna monetizacija takođe povećava otpornost: čak i ako se kripto rudar otkrije i ukloni, proxy komponenta može ostati nezapažena, osiguravajući kontinuirani prihod za prijetnju.“
Datadog je saopštio da je takođe primijetio da hakeri zloupotrebljavaju pogrešno konfigurisane Docker instance koje su javno dostupne za stvaranje novog kontejnera, unutar kojeg se izvršava maliciozna naredba za preuzimanje dodatnog sadržaja s vanjskog servera i njegovo izvršavanje.
Napisan u Go jeziku, modularni maliciozni softver dolazi opremljen mogućnostima postizanja perzistencije, obavljanja I/O operacija sistema datoteka, prekidanja procesa, izvršavanja unutar memorije. Također služi kao uvodnik za GSocket i IPRoyal, te pokušava da se širi na druge sisteme putem SSH napada grubom silom.
„Ovo pokazuje spremnost hakeri da ugrozi širok spektar usluga – ne samo CMS provajdere – kako bi ostvarili svoje ciljeve“, rekao je Datadog.
Izvor:The Hacker News
