記事本文(要約)
金銭目的の脅威アクターが、Craft CMSのリモートコード実行の脆弱性CVE-2025-32432を悪用し、暗号通貨マイナーやMimo Loaderと呼ばれるロード装置、住宅プロキシウェアなどをデプロイする活動が観察されました。この脆弱性は、Craft CMSのバージョン3.9.15、4.14.15、5.6.17で修正されており、2025年4月にOrange Cyberdefense SensePostによって初めて公表されました。
この攻撃はまずターゲットシステムに不正アクセスし、持続的なリモートアクセスを可能にするウェブシェルを配置します。このシェル経由で、遠隔サーバーからスクリプトをダウンロードして実行します。スクリプトは競合する暗号通貨マイニングツールを除去した後、次の段階のペイロードを投入します。
このハッキング活動はMimoと名付けられた侵入セットに起因し、過去にはApache Log4jやAtlassian Confluenceなどの脆弱性を利用して攻撃してきました。最近、トルコからのIPアドレスを利用して活動していることが確認され、迅速に新たな脆弱性を悪用する技術的な俊敏性が指摘されています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 28 May 2025 16:30:00 +0530
Original URL: https://thehackernews.com/2025/05/mimo-hackers-exploit-cve-2025-32432-in.html
詳細な技術情報
以下に、指定された文章のセキュリティに関する詳細情報を分析し、日本語で説明します。
CVE番号
- CVE-2025-32432: Craft CMSに存在するリモートコード実行(RCE)の脆弱性。この脆弱性は、最大の深刻度で評価されており、Craft CMSのバージョン3.9.15、4.14.15、5.6.17で修正されています。
脆弱性の仕組み
- CVE-2025-32432はリモートコード実行脆弱性であり、攻撃者が遠隔からターゲットシステムで任意のコードを実行できることを可能にします。この脆弱性を悪用することで、攻撃者はターゲットシステムに不正アクセスを確立し、永続的なリモートアクセスを維持するためのウェブシェルをデプロイできるようになります。
攻撃手法
- 脆弱性の悪用: 攻撃者は、CVE-2025-32432を悪用してターゲットシステムに不正にアクセスします。
- ウェブシェルの設置: 不正アクセスを確保した後、攻撃者はウェブシェルをデプロイします。
- スクリプトの実行: ウェブシェルを通じて、攻撃者はリモートサーバーから「4l4md4r.sh」というシェルスクリプトをダウンロードし、実行します。これにはcurl、wget、またはPythonのurllib2ライブラリが使用されます。
- 競合するマイニングプロセスの除去と新規マルウェアのインストール: XMRigなどの既存の暗号通貨マイニングプロセスを終了させ、新たなペイロードをデプロイします。
- プロセスの隠蔽と資源の濫用: Mimo Loaderが「/etc/ld.so.preload」を改変してマルウェアプロセスを隠蔽し、IPRoyalプロキシウェアとXMRigマイナーを設置します。
潜在的な影響
- 資源の濫用: ターゲットシステムの計算資源を悪用した暗号通貨の不正マイニング(クリプトジャッキング)および被害者のインターネット帯域幅を他の悪意のある活動のために利用(プロキシジャッキング)。
- システムの不安定化: 不正なプロセスの実行がシステムの安定性に悪影響を及ぼす可能性があります。
- プライバシーとセキュリティの侵害: 攻撃者の遠隔アクセスにより、機密データが盗まれるリスクがあります。
推奨される対策
- パッチの適用: Craft CMSを最新バージョン(3.9.15、4.14.15、5.6.17)にアップデートして、この脆弱性を修正します。
- 侵入検知と監視: ウェブサーバーログやプロセスの異常な活動を監視し、不審な行動を即座に検出します。
- アクセスポリシーの見直し: 不必要なネットワークアクセスを制限し、適切なファイアウォール設定を確保します。
- セキュリティ意識の向上: 組織内でセキュリティ意識を高め、社内のシステム管理者や開発者に対して定期的なトレーニングを実施します。
- 脆弱性スキャニングの実施: 定期的な脆弱性スキャンを行い、新たなセキュリティホールを早期に発見し、対応します。
