СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
28.05.2025
#ИБ#Инфра

Эксплуатация уязвимости CVE-2025-32432 в CMS Craft: анализ атак

Эксплуатация уязвимости CVE-2025-32432 в CMS Craft: анализ атак

Источник: blog.sekoia.io

В начале 2025 года эксперты по кибербезопасности выявили активную эксплуатацию критической уязвимости CVE-2025-32432, затрагивающей систему управления контентом Craft CMS. Эта уязвимость относится к категории remote code execution (RCE) с максимальной оценкой по шкале CVSS — 10. В период с 28 февраля по 2 мая 2025 года злоумышленники из группы Mimo intrusion воспользовались этим багом для несанкционированного доступа и развертывания вредоносного ПО на серверах жертв.

Механизм атаки и вредоносная нагрузка

Первым этапом эксплуатации стала загрузка webshell посредством специально сформированного GET-запроса, что позволило атакующим выполнять произвольные команды на уязвимых серверах. Успешное внедрение webshell дало злоумышленникам возможность развертывать дополнительные вредоносные компоненты, среди которых:

  • загрузчик вредоносного ПО;
  • криптомайнер XMRig;
  • локальное прокси-приложение IPRoyal;
  • скрипты на Go для сокрытия активности вредоносных процессов;
  • динамическая библиотека alamdar.so для маскировки выполнения вредоносного ПО.

В частности, основным вредоносным файлом стал ELF-исполняемый файл 4l4md4r, упакованный с использованием UPX. После распаковки он запускал скрипт на Go, который перехватывал и модифицировал системные вызовы, тем самым скрывая присутствие вредоносных процессов в списках системных задач.

Функциональные особенности и цели атакующих

Вредоносные скрипты выполняли следующие ключевые операции:

  • обнаружение и устранение предыдущих инцидентов заражения;
  • очистка конфигурационных файлов автозагрузки для обхода защитных механизмов;
  • удаление устаревших криптомайнеров;
  • поиск и контроль над хранилищами исполняемых файлов.

Использование динамической библиотеки alamdar.so позволило злоумышленникам скрывать вредоносную активность и сохранять устойчивое присутствие на скомпрометированных системах. Такой подход обеспечивал двойную прибыль: одновременно с майнингом криптовалюты и использованием сетевых ресурсов через прокси-сервис.

Анализ эффективности и мотивация группы Mimo intrusion

Связанный с Mimo intrusion кошелёк Monero продемонстрировал высокую майнинговую активность, что подтверждает широкую компрометацию. Тем не менее, последние данные свидетельствуют о снижении уровня эффективности майнинга, вероятно, из-за очистки заражённых систем.

Результаты расследования выявили интересную связь между операторами Mimo intrusion и аккаунтами в социальных сетях, в частности в TikTok, где пользовались псевдонимами «EtxArny» и «n1tr0». Контент их аккаунтов непосредственно связан с методами эксплуатации уязвимостей и демонстрацией киберугроз. Это укрепляет гипотезу, что основная мотивация группы — финансовая выгода, а не идеологические цели.

Диверсификация и перспективы угрозы

Помимо криптомайнинга, в ходе расследования выявлены признаки внедрения программ-вымогателей (ransomware), что указывает на расширение операционной тактики Mimo intrusion. Такая гибкость позволяет им оперативно использовать новые уязвимости для максимизации доходов — как за счет ресурсов вычислительной мощности, так и использования сетевого трафика.

Эксперты подчеркивают, что активность злоумышленников сохраняется на высоком уровне, при этом объектом атаки остаются преимущественно веб-приложения с недостаточным уровнем защиты. Их действия ещё раз демонстрируют, что киберпреступность движется исключительно финансовыми интересами, отодвигая на второй план любые идеологические мотивы.

Выводы

  • CVE-2025-32432 является одной из критических уязвимостей, позволяющих злоумышленникам выполнить remote code execution.
  • Группа Mimo intrusion последовательно и эффективно эксплуатирует эту уязвимость для развертывания криптомайнеров и прокси-сервиса.
  • Компрометация затронула значительное число систем, что подтверждается активностью в Monero blockchain.
  • Расширение тактики за счет внедрения ransomware свидетельствует о росте угрозы и необходимости усиления мер защиты.
  • Основной мотив злоумышленников — получение финансовой прибыли, что отражается в тактиках ведения атак и публичных активностях в соцсетях.

Рекомендуется владельцам Craft CMS и другим администраторам веб-приложений немедленно обновить ПО, регулярно отслеживать аномальную активность и использовать многоуровневые средства защиты для предотвращения подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: