กลุ่มผู้โจมตีที่มีแรงจูงใจทางการเงินถูกตรวจพบว่ากำลังใช้ประโยชน์จากช่องโหว่การรันโค้ดที่เป็นอันตรายจากระยะไกล CVE-2025-32432 ใน Craft CMS เพื่อใช้งานเพย์โหลดหลายชนิด เช่น:
- เครื่องมือขุดคริปโตเคอร์เรนซี
- ตัวโหลดมัลแวร์ ที่เรียกว่า Mimo Loader
- proxyware ที่ใช้งานโดยทั่วไป
รายละเอียดช่องโหว่ และการเปิดเผย
ช่องโหว่นี้ถูกพบครั้งแรกในเดือนเมษายน 2025 โดย Orange Cyberdefense SensePost หลังจากถูกใช้โจมตีมาตั้งแต่กุมภาพันธ์ 2025 และได้รับการแก้ไขแล้วใน Craft CMS เวอร์ชัน 3.9.15, 4.14.15 และ 5.6.17
วิธีการโจมตี
ตามรายงานใหม่จาก Sekoia กลุ่มผู้โจมตีที่อยู่เบื้องหลังแคมเปญนี้ใช้ช่องโหว่นี้เพื่อ:
- เจาะเข้าระบบ และติดตั้งเว็บเชลล์เพื่อรักษาการเข้าถึงจากระยะไกล
- ดาวน์โหลด และรัน shell script ("4l4md4r.sh") จากเซิร์ฟเวอร์ภายนอกโดยใช้ curl, wget หรือ urllib2 (Python)
- ไลบรารี Python ถูก imports เข้าภายใต้ชื่อ "fbi" ซึ่งอาจใช้เป็นการพาดพิงถึงหน่วยงานของรัฐบาลกลางสหรัฐฯ แบบเสียดสี
ฟังก์ชันของ shell script
- ตรวจสอบการติดมัลแวร์ หรือการติดตั้งมัลแวร์ที่มีอยู่
- ลบเครื่องมือขุดคริปโตทุกเวอร์ชัน (รวมถึง XMRig) ที่กำลังทำงานอยู่
- ส่งเพย์โหลดขั้นต่อไป และรันไฟล์ ELF ชื่อ "4l4md4r"
บทบาทของ Mimo Loader
Mimo Loader จะแก้ไขไฟล์ /etc/ld.so.preload ซึ่งเป็นไฟล์ที่อ่านโดย dynamic linker เพื่อซ่อนมัลแวร์ alamdar.so โดยเป้าหมายสุดท้ายคือ:
- ติดตั้งพร็อกซีแวร์ IPRoyal
- ติดตั้งเครื่องมือขุด XMRig บนโฮสต์ที่ถูกโจมตี
เหตุการณ์นี้ทำให้ผู้โจมตีใช้ทรัพยากรของเหยื่อทั้งสำหรับการขุดคริปโต (cryptojacking) และการแอบใช้แบนด์วิดท์ (proxyjacking) เพื่อสร้างรายได้อย่างผิดกฎหมาย
ประวัติการโจมตีของ Mimo
Mimo (หรือ Hezb) ถูกพบการใช้งานมาตั้งแต่ มีนาคม 2022 รวมถึงยังพบการโจมตีโดยใช้ช่องโหว่อื่น ๆ เช่น :
- CVE-2021-44228 (Apache Log4j)
- CVE-2022-26134 (Atlassian Confluence)
- CVE-2023–27350 (PaperCut)
- CVE-2023-46604 (Apache ActiveMQ)
รายงานที่เผยแพร่โดย AhnLab ในเดือนมกราคม 2024 ระบุว่า กลุ่มแฮ็กเกอร์ดังกล่าวยังได้เตรียมการโจมตีด้วยแรนซัมแวร์ในปี 2023 โดยใช้แรนซัมแวร์ที่พัฒนาด้วยภาษา Go-based ชื่อ Mimus ซึ่งเป็นส่วนแยกของโครงการ MauriCrypt ซึ่งเป็นโครงการโอเพนซอร์ส
ที่มา : thehackernews
You must be logged in to post a comment.