Bilgisayar korsanları, kripto para birimi madencisi kötü amaçlı yazılımları enjekte etmek için CMS güvenlik açığı istismar

Tehdit aktörleri, CREAP içerik yönetim sisteminde (CMS) CVE-2025-32432 olarak tanımlanan bir Kritik Uzaktan Kod Yürütme (RCE) güvenlik açığından yararlandı.

2025 Şubat ortasında Orange CyberDense tarafından keşfedilen ve 25 Nisan 2025’te halka açık olarak açıklanan bu kusur, kimliksiz doğası nedeniyle maksimum CVSS puanı 10 taşıyor.

Craft CMS sürümlerini 3.0.0-rc1’den 5.6.17’ye etkileyen güvenlik açığı, açıklanmasından bu yana aktif sömürü altındadır ve 28 Şubat ve 2 Mayıs 2025 arasında bal perdelerinde birden fazla olay kaydedilmiştir.

– Reklamcılık –

Bu sömürü, kripto para madencileri ve proxyware de dahil olmak üzere kötü amaçlı yüklerin dağıtılmasını kolaylaştırmış ve eşleştirilmemiş sistemler için önemli riskler oluşturmaktadır.

Kritik RCE Kususu

Muhtemelen MIMO izinsiz giriş seti (HEZB olarak da bilinir) ile ilişkili olan saldırganlar, bir web kabuğu dağıtmak için CVE-2025-32432’den yararlanarak kampanyalarını başlatarak özel hazırlanmış GET ve post istekleri aracılığıyla uzaktan erişim sağlayarak kampanyalarını başlatırlar.

Bu istekler, Honeypot verilerinde gözlemlendiği gibi, keyfi komutları yürütmek için sunucu tarafı oturum dosyalarını manipüle eder.

Erişim kazanıldıktan sonra, “4L4MD4R.SH” adlı bir komut dosyası indirilir ve yürütülür, savunma konfigürasyonlarını temizleyerek, rakip süreçleri sonlandırarak ve “4L4MD4R” yükleyici gibi kötü amaçlı ikili ikili dosyaları indirir.

UPX kullanılarak paketlenmiş bu GO tabanlı yükleyici, ayrıcalıkları artırır, Monerookean havuzu üzerinden Monero madenciliği için XMRIG Cryptominer’ı dağıtır ve kurbanların bant genişliğini para kazanmak için iProyal Proxyware’i kurar.

Ayrıntılı enfeksiyon zinciri

Ayrıca, yükleyici, işlemlerini algılamadan gizlemek için kötü amaçlı bir kitaplık olan “Alamdar.so” ile LD_PRELOAD tekniğini kullanır.

İlişkili Monero cüzdanının Sekoia analizi, haftalık olarak yaklaşık 9.45 ABD doları olan 53.44 kH/s’lik mütevazı bir hashrate ortaya çıkarır, bu da 2022’de bildirilen 540 kH/s’den keskin bir düşüş sağlar, bu da birçok uzlaştırılmış sistemin iyileştirilmiş olabileceğini düşündürmektedir.

Bu arada, kanıtlar MIMO’yu fidye yazılımı dağıtımına, özellikle eksi fidye yazılımı ile ilişkilendirir ve bir Bitcoin cüzdanı 2022’den beri ödemelerde 35.000 USD’nin üzerinde birikir, ancak fonlar birden fazla adresle aklamalıdır.

Eserler ve sosyal medya etkinliği, MIMO’nun arkasındaki operatörlere işaret ediyor, “Etxarny” ve “N1TR0” gibi tanımlayıcılar, Orta Doğu işleriyle ilgili konseptlerin ve ideolojik içerikleri sömüren Tiktok hesaplarına bağlı.

Türkiye, Balkesir’e yerleşmiş olan saldırılarda kullanılan IP adresleri ayrıca en az bir operatörün fiziksel konumunu önermektedir.

Tespit fırsatları, Sekoia Defend Sigma kuralları tarafından işaretlendiği gibi, geçici dizinlerde ve dinamik bağlayıcı kaçırma işlemlerinde olağandışı süreç yürütmeyi izleyerek vardır.

Bu kampanya, Mimo’nun yeni güvenlik açıklarından yararlanma ve kriptominasyon, proxy hizmetleri ve fidye yazılımı yoluyla gelir akışlarını çeşitlendirme konusundaki çevikliğinin altını çizerek, kuruluşların savunmasız zanaat CMS örneklerini yamalama ve bu tür gelişen tehditlere karşı tehdit algılama yeteneklerini artırma ihtiyacını vurgulamaktadır.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!