Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Эксплуатация уязвимости CVE-2025-32432 в CMS Craft: анализ атак

3 мин
В начале 2025 года эксперты по кибербезопасности выявили активную эксплуатацию критической уязвимости CVE-2025-32432, затрагивающей систему управления контентом Craft CMS. Эта уязвимость относится к категории remote code execution (RCE) с максимальной оценкой по шкале CVSS — 10. В период с 28 февраля по 2 мая 2025 года злоумышленники из группы Mimo intrusion воспользовались этим багом для несанкционированного доступа и развертывания вредоносного ПО на серверах жертв. Первым этапом эксплуатации стала загрузка webshell посредством специально сформированного GET-запроса, что позволило атакующим выполнять произвольные команды на уязвимых серверах. Успешное внедрение webshell дало злоумышленникам возможность развертывать дополнительные вредоносные компоненты, среди которых: В частности, основным вредоносным файлом стал ELF-исполняемый файл 4l4md4r, упакованный с использованием UPX. После распаковки он запускал скрипт на Go, который перехватывал и модифицировал системные вызовы, тем самым ск
Оглавление
Источник: blog.sekoia.io
Источник: blog.sekoia.io

В начале 2025 года эксперты по кибербезопасности выявили активную эксплуатацию критической уязвимости CVE-2025-32432, затрагивающей систему управления контентом Craft CMS. Эта уязвимость относится к категории remote code execution (RCE) с максимальной оценкой по шкале CVSS — 10. В период с 28 февраля по 2 мая 2025 года злоумышленники из группы Mimo intrusion воспользовались этим багом для несанкционированного доступа и развертывания вредоносного ПО на серверах жертв.

Механизм атаки и вредоносная нагрузка

Первым этапом эксплуатации стала загрузка webshell посредством специально сформированного GET-запроса, что позволило атакующим выполнять произвольные команды на уязвимых серверах. Успешное внедрение webshell дало злоумышленникам возможность развертывать дополнительные вредоносные компоненты, среди которых:

  • загрузчик вредоносного ПО;
  • криптомайнер XMRig;
  • локальное прокси-приложение IPRoyal;
  • скрипты на Go для сокрытия активности вредоносных процессов;
  • динамическая библиотека alamdar.so для маскировки выполнения вредоносного ПО.

В частности, основным вредоносным файлом стал ELF-исполняемый файл 4l4md4r, упакованный с использованием UPX. После распаковки он запускал скрипт на Go, который перехватывал и модифицировал системные вызовы, тем самым скрывая присутствие вредоносных процессов в списках системных задач.

Функциональные особенности и цели атакующих

Вредоносные скрипты выполняли следующие ключевые операции:

  • обнаружение и устранение предыдущих инцидентов заражения;
  • очистка конфигурационных файлов автозагрузки для обхода защитных механизмов;
  • удаление устаревших криптомайнеров;
  • поиск и контроль над хранилищами исполняемых файлов.

Использование динамической библиотеки alamdar.so позволило злоумышленникам скрывать вредоносную активность и сохранять устойчивое присутствие на скомпрометированных системах. Такой подход обеспечивал двойную прибыль: одновременно с майнингом криптовалюты и использованием сетевых ресурсов через прокси-сервис.

Анализ эффективности и мотивация группы Mimo intrusion

Связанный с Mimo intrusion кошелёк Monero продемонстрировал высокую майнинговую активность, что подтверждает широкую компрометацию. Тем не менее, последние данные свидетельствуют о снижении уровня эффективности майнинга, вероятно, из-за очистки заражённых систем.

Результаты расследования выявили интересную связь между операторами Mimo intrusion и аккаунтами в социальных сетях, в частности в TikTok, где пользовались псевдонимами «EtxArny» и «n1tr0». Контент их аккаунтов непосредственно связан с методами эксплуатации уязвимостей и демонстрацией киберугроз. Это укрепляет гипотезу, что основная мотивация группы — финансовая выгода, а не идеологические цели.

Диверсификация и перспективы угрозы

Помимо криптомайнинга, в ходе расследования выявлены признаки внедрения программ-вымогателей (ransomware), что указывает на расширение операционной тактики Mimo intrusion. Такая гибкость позволяет им оперативно использовать новые уязвимости для максимизации доходов — как за счет ресурсов вычислительной мощности, так и использования сетевого трафика.

Эксперты подчеркивают, что активность злоумышленников сохраняется на высоком уровне, при этом объектом атаки остаются преимущественно веб-приложения с недостаточным уровнем защиты. Их действия ещё раз демонстрируют, что киберпреступность движется исключительно финансовыми интересами, отодвигая на второй план любые идеологические мотивы.

Выводы

  • CVE-2025-32432 является одной из критических уязвимостей, позволяющих злоумышленникам выполнить remote code execution.
  • Группа Mimo intrusion последовательно и эффективно эксплуатирует эту уязвимость для развертывания криптомайнеров и прокси-сервиса.
  • Компрометация затронула значительное число систем, что подтверждается активностью в Monero blockchain.
  • Расширение тактики за счет внедрения ransomware свидетельствует о росте угрозы и необходимости усиления мер защиты.
  • Основной мотив злоумышленников — получение финансовой прибыли, что отражается в тактиках ведения атак и публичных активностях в соцсетях.

Рекомендуется владельцам Craft CMS и другим администраторам веб-приложений немедленно обновить ПО, регулярно отслеживать аномальную активность и использовать многоуровневые средства защиты для предотвращения подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Эксплуатация уязвимости CVE-2025-32432 в CMS Craft: анализ атак".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.