29/05/25
Сразу после обнародования информации об ошибке (в феврале 2025 года) специалисты из Orange Cyberdefense SensePost отметили её активное использование. Тем не менее, уязвимость была исправлен только в последних обновлениях Craft CMS (версии 3.9.15, 4.14.15 и 5.6.17).
Согласно свежему отчёту Sekoia, злоумышленники оперативно встроили CVE-2025-32432 в свою рабочую схему, передаёт Securitylab. Получив несанкционированный доступ к целевым системам, они внедряют веб-оболочку для закрепления и дальнейшего управления сервером. Через неё загружается и запускается shell-скрипт «4l4md4r.sh» — он скачивается с удалённого сервера с помощью curl, wget или даже через библиотеку urllib2, которую атакующие с иронией переименовывают в «fbi» (ФБР). Такой необычный ход служит дополнительным индикатором при анализе вредоносной активности Python.
Скрипт сначала ищет признаки предыдущей инфекции и удаляет все следы конкурирующих майнеров, включая XMRig. После очистки системы от «лишних» процессов начинается вторая фаза атаки: скачивается и запускается ELF-бинарник «4l4md4r», также известный как Mimo Loader. Его задача — изменить системный файл «/etc/ld.so.preload», чтобы скрыть основное вредоносное расширение («alamdar.so») и избежать обнаружения.
Mimo Loader, прочно осевший в системе, подготавливает инфраструктуру для установки двух полезных для злоумышленников инструментов: майнера XMRig и прокси-сервиса IPRoyal. Это открывает две параллельные возможности для заработка: использование мощности заражённого компьютера для добычи криптовалюты и сдача интернет-канала жертвы в аренду для анонимных и зачастую незаконных операций. Подобные техники давно получили названия криптоджекинг и проксиджекинг .
По данным Sekoia, цепочка атак чаще всего запускается с турецкого IP-адреса, что совпадает с более ранними сведениями о локации группы. Вся операция отличилась поразительной скоростью: между публикацией уязвимости, появлением рабочего PoC и массовым использованием прошло всего несколько дней, что говорит о высокой технической мобильности банды.
