Source: https://thehackernews.com/2025/07/threat-actor-mimo-targets-magento-and.html
🛡 概要
Mimoという脅威アクターは、Magento CMSや誤設定されたDockerインスタンスを標的にした攻撃を展開しています。これにより、暗号通貨マイナーやプロキシウェアが展開されるリスクが高まっています。Mimoは、さまざまなWebアプリケーションのN-dayセキュリティ脆弱性を利用して、金銭的利益を追求しており、最近の活動はより高度な犯罪行為の準備を示唆しています。特に、CVE-2025-32432の脆弱性を利用した事例が報告されており、対策が急務とされています。
🔍 技術詳細
Mimoの攻撃手法は、MagentoのPHP-FPMプラグインを通じたコマンドインジェクションに始まります。この初期アクセスを利用して、GSocketというオープンソースのペネトレーションテストツールを導入し、リバースシェルを通じてホストへの持続的なアクセスを確立します。GSocketは、システム上の他のプロセスに溶け込むように偽装され、検出を回避します。また、memfd_create()を利用したインメモリペイロードを使用し、ディスク上に痕跡を残さずにELFバイナリローダー「4l4md4r」を起動します。このローダーは、IPRoyalプロキシウェアとXMRigマイナーを展開し、ルートキットを注入して存在を隠蔽します。
⚠ 影響
Mimoの攻撃により、被害者のCPUリソースが暗号通貨マイニングに利用され、未使用のインターネット帯域が不正な住宅プロキシサービスに悪用される危険があります。プロキシウェアはCPUの消費が少ないため、マイナーのリソース使用が制限されても検出されにくい特性があります。これにより、マイナーが検出されてもプロキシコンポーネントが残存し続け、脅威アクターにとって持続的な収益源となるリスクが高まります。さらに、誤設定されたDockerインスタンスも悪用され、新たなマルウェアが展開されることで、システム全体が危険にさらされる可能性があります。
🛠 対策
Mimoの攻撃に対抗するためには、まずMagentoやDockerの設定を見直し、適切なセキュリティ対策を講じることが重要です。具体的には、定期的なソフトウェアのアップデートとパッチ適用、ファイアウォールの設定強化、監視ツールの導入が推奨されます。また、外部からのアクセスを制限し、不要なサービスは無効にすることで、攻撃のリスクを軽減できます。特に、PHP-FPMの設定を見直し、コマンドインジェクションの脆弱性を排除することが求められます。
