Python с лицом ФБР, турецкий IP и CMS, которая решила зарабатывать самостоятельно

Недавняя уязвимость CVE-2025-32432 в популярной системе управления контентом Craft CMS стала новым инструментом в арсенале группы Mimo — хорошо знакомого игрока на киберпреступном поле, мотивированного финансовой выгодой. Сразу после обнародования информации об ошибке (в феврале 2025 года) специалисты из Orange Cyberdefense SensePost отметили её активную эксплуатацию. Тем не менее, сам баг был исправлен только в последних обновлениях Craft CMS (версии 3.9.15, 4.14.15 и 5.6.17).

Согласно свежему отчёту Sekoia, злоумышленники оперативно встроили CVE-2025-32432 в свою рабочую схему. Получив несанкционированный доступ к целевым системам, они внедряют веб-оболочку для закрепления и дальнейшего управления сервером. Через неё загружается и запускается shell-скрипт «4l4md4r.sh» — он скачивается с удалённого сервера с помощью curl, wget или даже через библиотеку urllib2, которую атакующие с иронией переименовывают в «fbi» (ФБР). Такой необычный ход служит дополнительным индикатором при анализе вредоносной активности Python.

Скрипт сначала ищет признаки предыдущей инфекции и удаляет все следы конкурирующих майнеров, включая XMRig. После очистки системы от «лишних» процессов начинается вторая фаза атаки: скачивается и запускается ELF-бинарник «4l4md4r», также известный как Mimo Loader. Его задача — изменить системный файл «/etc/ld.so.preload», чтобы скрыть основное вредоносное расширение («alamdar.so») и избежать обнаружения.

Mimo Loader, прочно осевший в системе, подготавливает инфраструктуру для установки двух полезных для злоумышленников инструментов: майнера XMRig и прокси-сервиса IPRoyal. Это открывает две параллельные возможности для заработка: использование мощности заражённого компьютера для добычи криптовалюты и сдача интернет-канала жертвы в аренду для анонимных и зачастую незаконных операций. Подобные техники давно получили названия криптоджекинг и проксиджекинг .

Группа Mimo, действующая как минимум с марта 2022 года, неоднократно фигурировала в технических отчётах, связанных с атакой на уязвимые системы через дыры в Apache Log4j (CVE-2021-44228), Atlassian Confluence (CVE-2022-26134), PaperCut (CVE-2023–27350) и Apache ActiveMQ (CVE-2023-46604). В 2023 году наблюдались и эпизоды внедрения вымогательского ПО на базе MauriCrypt — форка, известного под названием Mimus.

По данным Sekoia, цепочка атак чаще всего запускается с турецкого IP-адреса, что совпадает с более ранними сведениями о локации группы. Вся операция отличилась поразительной скоростью: между публикацией уязвимости, появлением рабочего PoC и массовым использованием прошло всего несколько дней, что говорит о высокой технической мобильности банды.

Операторы Mimo продолжают следить за новыми дырами и быстро добавляют их в свой инструментарий. Пока крупные CMS спешно латают опасные дыры, остаётся только догадываться, какой продукт окажется следующим в списке жертв для этой группы, ловко зарабатывающей на чужих ресурсах сразу двумя способами.