MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Crypto

A new zero-day is under attack and it’s making money off your CMS


هاكرز مجموعة Mimo يستغلون ثغرة CVE-2025-32432 في Craft CMS لنشر أدوات تعدين العملات وProxyware

تم رصد جهة تهديد مدفوعة بدوافع مالية تستغل ثغرة تنفيذ أوامر عن بُعد تم الكشف عنها مؤخرًا في نظام إدارة المحتوى Craft، لنشر حمولات ضارة تشمل برنامج تعدين للعملات الرقمية، وأداة تحميل تُعرف باسم Mimo Loader، بالإضافة إلى أدوات بروكسي سكني.

الثغرة المُستغلة هي CVE-2025-32432، وهي ثغرة شديدة الخطورة تم تصحيحها في الإصدارات 3.9.15، 4.14.15، و5.6.17 من Craft CMS. وقد تم الكشف عن الثغرة في أبريل 2025 من قبل فريق Orange Cyberdefense SensePost، بعد ملاحظة استخدامها في هجمات بدأت في فبراير.

وفقًا لتقرير صادر عن شركة Sekoia، قام المهاجمون باستغلال هذه الثغرة للحصول على وصول غير مصرح به إلى الأنظمة، ثم نشروا web shell لتمكين الوصول الدائم عن بُعد.

تفاصيل العملية

بمجرد تنصيب web shell، يتم استخدامه لتنزيل وتنفيذ سكربت شل يُدعى "4l4md4r.sh" من خادم خارجي باستخدام أدوات مثل curl أو wget أو مكتبة urllib2 في بايثون.

أوضح الباحثان "جيريمي سيون" و"بيير لو بوريس" من شركة Sekoia أن المهاجم قام بتسمية مكتبة urllib2 باسم مستعار هو "fbi"، وهي تسمية غير اعتيادية قد تكون إشارة ساخرة إلى الوكالة الفيدرالية الأمريكية.

قد تساعد هذه التسمية غير التقليدية في تسهيل عملية اكتشاف البرمجية خلال عمليات تحليل التهديدات أو الفحص الاستعادي لسلوك Python المشبوه.

يقوم السكربت في البداية بالتحقق من مؤشرات العدوى السابقة، ويعمل على إزالة أي برمجية تعدين موجودة بالفعل، ثم يقتل جميع عمليات XMRig النشطة وأدوات تعدين أخرى قبل أن يُحمّل المراحل التالية ويُطلق ملفًا تنفيذيًا باسم "4l4md4r".

Mimo Loader

يقوم هذا الملف بتعديل "/etc/ld.so.preload"، وهو ملف يُقرأ من قبل dynamic linker في نظام Linux، وذلك لإخفاء العملية الضارة "alamdar.so".

الهدف النهائي من الأداة هو تثبيت برمجية IPRoyal proxyware وبرنامج XMRig لتعدين العملات الرقمية على الجهاز المصاب.

يسمح هذا السيناريو للجهة المهاجمة بالاستفادة من موارد الجهاز في التعدين غير المشروع للعملات الرقمية، وأيضًا في كسب المال عبر استغلال اتصال الإنترنت الخاص بالضحية — وهي تقنيات تُعرف باسم cryptojacking وproxyjacking.

نشاط مجموعة Mimo

نُسبت هذه الحملة إلى مجموعة تُدعى Mimo، وهي نشطة منذ مارس 2022. في السابق، استخدمت المجموعة ثغرات معروفة في:

  • Apache Log4j (CVE-2021-44228)
  • Atlassian Confluence (CVE-2022-26134)
  • PaperCut (CVE-2023–27350)
  • Apache ActiveMQ (CVE-2023-46604)

كما أفاد تقرير صادر عن AhnLab في يناير 2024 بأن مجموعة Mimo نفذت أيضًا هجمات فدية خلال عام 2023 باستخدام نسخة مبنية على لغة Go تُدعى Mimus، وهي فرع من مشروع MauriCrypt مفتوح المصدر.

مصدر الهجوم

أشارت Sekoia إلى أن مصدر الاستغلال هو عنوان IP تركي ("85.106.113[.]168")، ووجدت دلائل مفتوحة المصدر تشير إلى أن المهاجم موجود فعليًا داخل تركيا.

ذكرت الشركة: "تم تحديد مجموعة Mimo لأول مرة في أوائل عام 2022، وتميّزت بأنشطتها المستمرة في استغلال الثغرات لنشر برمجيات تعدين العملات. وتؤكد التحقيقات الجارية أن المجموعة لا تزال نشطة وتواصل استغلال الثغرات الجديدة فور الإعلان عنها."

وأضاف التقرير: "السرعة الكبيرة التي تمت فيها الاستفادة من الثغرة CVE-2025-32432 بعد نشرها، تعكس قدرة تقنية عالية ورد فعل سريع من قبل المجموعة."