Сейчас, по данным Datadog Security Labs, Mimo, также известная как Hezb, расширила инструментарий. В новой серии атак используется уязвимость в PHP-FPM, внедрённая через модуль Magento, что указывает на способность группы применять более сложные техники, чем ранее замеченные, пишет Securitylab.
Первоначальный доступ осуществляется через ввод команд в PHP-FPM, после чего на систему загружается утилита GSocket. Этот легитимный инструмент для тестирования безопасности применяется злоумышленниками для организации обратного шелла и постоянного присутствия на хосте. При этом процесс GSocket маскируется под системный поток, чтобы не вызывать подозрений при анализе процессов.
На этом злоумышленники не останавливаются. Для маскировки и повышения стойкости атаки они задействуют технику запуска ELF-бинарников в памяти без записи на диск — через системный вызов memfd_create(). Это позволяет исполнять полезную нагрузку прямо из памяти, делая её невидимой для большинства антивирусов. Внутри памяти загружается исполняемый загрузчик под названием «4l4md4r», который устанавливает два компонента: IPRoyal Proxyware и XMRig. Для сокрытия следов присутствия применяется модификация файла «/etc/ld.so.preload», что позволяет внедрить руткит и скрыть присутствие всех зловредных компонентов.
Такой подход позволяет группе выполнить двухуровневую схему монетизации: добыча криптовалюты с помощью XMRig использует вычислительные ресурсы заражённой машины, а IPRoyal превращает её в узел в платной сети прокси, продавая исходящий трафик злоумышленникам. При этом прокси-сервис почти не нагружает процессор и остаётся незаметным даже при обнаружении и остановке майнинга, что позволяет атаке приносить доход длительное время.
Кроме Magento, группа атакует публично доступные и слабо защищённые Docker-инстансы. В этих случаях злоумышленники инициируют запуск новых контейнеров, в которых выполняется вредоносная команда для скачивания дополнительного модуля с внешнего сервера.
Вредонос написан на языке Go и обладает модульной архитектурой, включающей функции для устойчивости, операций с файловой системой, завершения процессов и запуска других компонентов в памяти. Он также служит платформой для установки GSocket и IPRoyal и способен распространяться на другие системы через подбор SSH-паролей.