Datadog Güvenlik Araştırma Ekibi, Mimo’lette veya HEZB olarak da bilinen MIMO Tehdit Oyuncusu’nu, operasyonlarını Craft CMS’den Magento CMS’ye genişleten ortaya çıkardı.
Kriptominerleri kamuya açık güvenlik açıkları yoluyla dağıtmak için daha önce belgelenmiş olan MIMO, şimdi daha geniş platform hedeflemesine doğru taktiksel bir kaymayı işaretleyerek Magento kurulumlarında belirsiz PHP-fpm kusurlarını kullanıyor.
Bu evrim, sadece kaynak sömürüsünün ötesinde daha gelişmiş mali suçların hazırlanmasını öneren sofistike kalıcılık ve kaçırma mekanizmalarını içerir.
Taktiklerin evrimi
Soruşturmalar, saldırganların Magento eklentileri aracılığıyla komut enjeksiyonu kullandıkları ve yetkisiz uzaktan erişim ve uzlaşmış sistemlerin para kazanmasını sağlayan çok günlük müdahaleleri ortaya koyuyor.
MIMO’nun güncellenmiş araç seti, Global Socket Relay Network (GSRN) aracılığıyla uçtan uca-256-CBC şifreleme ve TOR desteği ile şifreli bağlantılar kurarak, güvenlik duvarı ve NAT bypass için meşru GSocket penetrasyon test aracından yararlanır.
Kalıcılık, SystemD servis birimleri, RC.local modifikasyonlar ve gsocket tabanlı ters kabukları saatlik olarak yürüten, çekirdek iplikleri gibi fquerading ile gerçekleştirilir. [kstrp]- [watchdogd]veya [kswapd0] tespitten kaçınmak için.
Dikkate değer bir kaçırma tekniği, meşru çekirdek işlemlerinden sonra adlandırılan anonim bellek içi dosyalar oluşturarak memfd_create () syscall’u içerir (örn. MEMFD:[rcu_sched]), yüklerin disk ayak izleri olmadan çalışmasına izin verir.
Dağıtımdan önce, saldırganlar .bashrc, .bash_profile ve /etc/ld.so.preload’dan eserleri temizler, daha sonra Alamdar.so rootkit’i, XMRIG madencileri ve Iproyal Proxy istemcileri gibi süreçleri gizlemek için enjekte ederler.
Altyapı içgörüler
Finansal olarak motive edilen Mimo, kriptajı “kâr istifleme” için proxyJacking ile birleştiriyor. UPX paketli XMRIG varyantları C3pool’da Monero Minero, CPU kaynaklarını tüketirken, hezb.x86_64 Iproyal Pawns istemcisi, bant genişliğini konut vekilleri olarak para kazanarak minimal yüklü pasif gelir elde eder.
Bu ikili yaklaşım esneklik sağlar; Madencilik bozulsa bile, proxy operasyonları tespit edilmez.
Docker-hedefli varyantların tersine mühendisliği, Alamdar/O, komut yürütme ve “EC2-User” gibi kullanıcı adlarıyla yayılan SSH Brute zorlama modüllerini içeren Alamdar/313 paketi altında modüler GO tabanlı kötü amaçlı yazılımları ortaya çıkarır.
Çok katmanlı komut ve kontrol, operasyonel güvenliği artırarak sunucuları (örn.
Yanlış yapılandırılmış Docker API’lerinin ek hedeflenmesi, hizmete özgü izleme için parametrelendirilmiş olan Base64 kodlu bukleler aracılığıyla cron.jpg gibi yükleri getirerek kötü niyetli kaplar çıkarır.
Önceki raporlarda bulunmayan bu çeşitlendirme, MIMO’nun uyarlanabilirliğini vurgular ve potansiyel olarak e -ticaret ortamlarındaki kart detay hırsızlığını hafızada ısrar ederek ve kaçınarak adli tıp.
Azaltma, yetkisiz girişler için /etc/ld.so.preload denetimini, CMS platformlarının güncellenmesini, Monero bağlantı noktalarını engellemeyi (3333, 5555) ve gizli komutlar için cron işlerini incelemeyi içerir.
Süreçlerin gözden geçirilmesi ve temiz botlardan gizli yürütülebilir ürünleri öldürmek, köklüleri ortadan kaldırmak ve kimlik bilgilerini döndürmek için gereklidir.
| Kategori | IOC | Detaylar |
|---|---|---|
| Ağ | 109.205.213.203:21 | İlk C2 (26 Mayıs 2025) |
| Ağ | 193.32.162.10:21 | İkincil C2 (28-30 Mayıs, 2025) |
| Ağ | 15.188.246.198:80 | Yük barındırma sunucusu (3 Haziran 2025) |
| Ağ | g.gsocket.ninja | Gsocket c2 |
| Ağ | d.gsocket.ninja | Ek Gsocket Altyapı |
| Dosya | gs-netcat_mini-linux-x86_64 | Gizli C2 Kanalı, SHA256: D94F75A70B5CABAF786AC57177ED841732E62BDCC9A29E06E5B41D9BE567BCFA |
| Dosya | Alamdar.so | Ld_preload rootkit, sha256: 7868cb82440632cc4fd7a451a351c137a39e1495c84172a17894daf1d108e9a |
| Dosya | Hezb.x86_64 | İProyal Pawns Proxyware, SHA256: 1AA4D88A38F5A27A60CFC6D6995F065DA074EE340789ED00DDC29ABC29EA671E |
| İşlem | İçeren komutlar: Uyku 1; -9 $ ppid öldür | İlk Komut Enjeksiyon Deseni |
| İşlem | Python İthalat: urllib2’yi FBI olarak içe aktarın | Benzersiz mimo imzası |
| İşlem | Cron girişleri: GS_HOST = VEYA DEVUNCE | Gsocket kalıcılık göstergeleri |
| İşlem | Base64 Dizeleri Başlayarak: L3VZCI9IAW4V… | Kodlar/USR/BIN/Gizli komutlarda |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now