HackerNews 编译,转载请注明出处:
网络安全研究人员发现,一个以牟利为目的的黑客组织正在利用Craft内容管理系统(CMS)新近披露的远程代码执行漏洞(CVE-2025-32432),部署包含加密货币矿工、Mimo加载器及住宅代理软件的多重恶意载荷。该高危漏洞已于今年4月由Orange Cyberdefense SensePost首次披露,官方在3.9.15、4.14.15和5.6.17版本中修复。
据Sekoia最新报告,攻击者通过该漏洞获取目标系统未授权访问权限后,部署WebShell实现持久远程控制。该WebShell会使用curl、wget或Python库urllib2从远程服务器下载并执行shell脚本。研究人员指出,攻击者在Python代码中将urllib2库别名为“fbi”,这种非常规命名可能暗指美国联邦调查局,或成为威胁溯源的重要线索。
该脚本首先检测系统感染痕迹,卸载已知加密货币矿工,终止所有活跃的XMRig进程及其他竞品挖矿工具,随后投放ELF可执行文件。该程序即Mimo加载器,通过修改动态链接器配置文件隐藏恶意进程,最终在受控主机部署IPRoyal代理软件和XMRig矿工。攻击者借此实现双重获利:劫持算力挖矿牟利,同时将受害者网络带宽转化为代理节点资源。
该攻击活动被归因于代号Mimo的黑客组织,其自2022年3月起活跃,曾利用Apache Log4j(CVE-2021-44228)、Atlassian Confluence(CVE-2022-26134)、PaperCut(CVE-2023–27350)及Apache ActiveMQ(CVE-2023-46604)等漏洞部署矿工。据安博士2024年1月报告,该组织2023年还使用基于Go语言的Mimus勒索软件实施攻击,该软件系开源项目MauriCrypt的分支版本。
Sekoia追踪发现攻击流量源自土耳其IP地址(85.106.113[.]168),开源情报显示Mimo组织成员可能物理位置位于该国。法国网络安全公司指出,Mimo组织以快速武器化新漏洞著称,此次从CVE-2025-32432漏洞披露到概念验证代码发布,再到实际攻击发生的时间间隔极短,充分展现其响应速度与技术敏捷性。目前确认该组织仍保持活跃,持续扫描利用新披露的漏洞实施攻击。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
