Savunmasız zanaat içerik yönetim sistemi (CMS) örneklerinin sömürülmesinin arkasındaki tehdit oyuncusu, taktiklerini Magento CMS’yi hedeflemek ve yanlış yapılandırılmış Docker örneklerine kaydırdı.
Etkinlik, izlenen bir tehdit aktörüne atfedildi. Taklit etmek (AKA HEZB), kripto para madencilerini dağıtmak için çeşitli web uygulamalarında N-Day güvenlik kusurlarından yararlanma geçmişine sahiptir.
Datadog Security Labs, bu hafta yayınlanan bir raporda, “Mimo’nun birincil motivasyonu finansal kalmasına rağmen, kripto para madenciliği ve bant genişliği para kazanma yoluyla, son işlemlerinin karmaşıklığı daha kazançlı suç faaliyetleri için potansiyel hazırlık olduğunu gösteriyor.” Dedi.
Mimo’nun CRAP CMS’de kritik bir güvenlik kusuru olan CVE-2025-32432’den sömürülmesi, Mayıs 2025’te Sekoia tarafından kriptaj ve proxyjacking için belgelenmiştir.
Tehdit oyuncusu ile ilişkili yeni gözlemlenen saldırı zincirleri, başlangıç erişimini elde etmek için magento e-ticaret tesislerinde belirsiz PHP-FPM güvenlik açıklarının kötüye kullanılmasını ve daha sonra bir ters kabuk yoluyla konakçıya kalıcı erişim sağlamak için GSOCTE’i düşürmek için kullanmayı içerir.
Araştırmacılar Ryan Simon ve Matt Muir, “Başlangıç erişim vektörü, Magento CMS eklentisi aracılığıyla PHP-FPM komut enjeksiyonudur, bu da MIMO’nun daha önce gözlemlenen çekişmeli tradecraft’ın ötesinde birden fazla istismar özelliğine sahip olduğunu gösteriyor.” Dedi.
Tespit tespiti yapmak amacıyla, Gsocket ikili maskeli, meşru veya çekirdek tarafından yönetilen bir iş parçacığı olarak, sistemde çalışabilecek diğer işlemlerle karışacak şekilde.
Saldırganlar tarafından kullanılan bir diğer dikkate değer teknik, diskte herhangi bir iz bırakmadan “4L4MD4R” adlı bir ELF ikili yükleyicisini başlatmak için memfd_create () kullanılarak bellek içi yüklerin kullanılmasıdır. Yükleyici daha sonra, bu eserlerin varlığını gizlemek için bir rootkit enjekte etmek için “/etc/ld.so.preload” dosyasını değiştirmeden önce, iProyal Proxyware ve XMRIG madencisini uzatılmış makineye dağıtmaktan sorumludur.
Bir madencinin ve proxyware’in dağılımı, finansal kazancı en üst düzeye çıkarmak için MIMO tarafından benimsenen iki yönlü bir yaklaşımın altını çizmektedir. Farklı gelir üretim akışları, tehlikeye atılan makinelerin CPU kaynaklarının kripto para birimine kaçmasını sağlarken, kurbanların kullanılmayan internet bant genişliği yasadışı konut proxy hizmetleri için para kazanılmıştır.
Araştırmacılar, “Ayrıca, tipik olarak minimal CPU tüketen proxyware kullanımı, kripto madencisinin kaynak kullanımı azalsa bile ek para kazanmanın tespit edilmesini önleyen gizli operasyon sağlar.” Dedi. Diyerek şöyle devam etti: “Bu çok katmanlı para kazanma da esnekliği artırıyor: kripto madencisi tespit edilse ve kaldırılsa bile, proxy bileşeni fark edilmeyebilir ve tehdit oyuncusu için sürekli gelir sağlayabilir.”
Datadog, ayrıca harici bir sunucudan ek bir yük getirmek ve yürütmek için kötü niyetli bir komutun yürütüldüğü yeni bir kapsayıcıya kamuya açık olarak erişilebilen yanlış yapılandırılmış Docker örneklerini kötüye kullanan tehdit aktörlerinin de gözlemlediğini söyledi.
Go’da yazılan modüler kötü amaçlı yazılım, kalıcılık elde etmek, dosya sistemi G/Ç işlemlerini yapmak, işlemleri sonlandırmak, bellek içi yürütme gerçekleştirmek için yeteneklerle donatılmıştır. Aynı zamanda GSocket ve Iproyal için bir damlalık görevi görür ve SSH Brute-Force saldırıları yoluyla diğer sistemlere yayılmaya çalışır.
Datadog, “Bu, tehdit oyuncunun hedeflerine ulaşmak için sadece CMS sağlayıcılarını değil, çeşitli hizmetleri tehlikeye atma isteğini gösteriyor.” Dedi.