كشف تقرير جديد من شركة Sekoia أن مجموعة قرصنة تعمل بدافع مالي استغلت ثغرة أمنية حرجة في نظام إدارة المحتوى Craft CMS (المعروفة بـ CVE-2025-32432) لاختراق الأنظمة ونشر عدة برمجيات خبيثة، تشمل:
-
برنامج تعدين عملات رقمية (Cryptominer)
-
حملة تحميل خبيثة تُعرف باسم “Mimo Loader”
-
بروكسي ضار لاستغلال نطاق الإنترنت (Residential Proxyware)
تم اكتشاف هذه الثغرة لأول مرة في أبريل 2025 بواسطة Orange Cyberdefense SensePost، وتم تصحيحها في إصدارات Craft CMS 3.9.15، 4.14.15، و5.6.17.
كيف تتم العملية الخبيثة؟
-
الاستغلال الأولي: يستغل المهاجمون الثغرة لتنفيذ أوامر عن بُعد (RCE) على الخادم المستهدف.
-
تنصيب Web Shell: يتم تحميل نص برمجي خبيث (“4l4md4r.sh”) عبر أدوات يستخدمها المهاجمون تحت اسم مستعار
-
إزالة المنافسين: يقوم النص البرمجي بإيقاف أي عمليات تعدين عملات منافسة (مثل XMRig) قبل تحميل الحمولة الخبيثة الرئيسية.
-
تحميل Mimo Loader: يتم تعديل ملف لإخفاء البرمجيات الخبيثة
-
نشر البروكسي والتعدين: يتم تنصيب برنامج IPRoyal Proxyware ومعدّن XMRig لاستغلال موارد الضحية في:
-
تعدين العملات المشفرة (Cryptojacking)
-
تحويل الجهاز إلى خادم بروكسي لاستخدامه في هجمات أخرى (Proxyjacking)
-
من هم قراصنة Mimo؟
تعمل هذه المجموعة (المعروفة باسم Mimo) منذ مارس 2022، وقد استغلت سابقًا ثغرات في:
-
Apache Log4j (CVE-2021-44228)
-
Atlassian Confluence (CVE-2022-26134)
-
PaperCut (CVE-2023-27350)
-
Apache ActiveMQ (CVE-2023-46604)
كما تم رصدها في 2023 وهي تستخدم برنامج فدية يعتمد على لغة Go (يُسمى Mimus، وهو مشتق من مشروع MauriCrypt المفتوح المصدر).
كيف تحمي نظامك؟
-
تحديث Craft CMS فورًا إلى الإصدارات المصححة (3.9.15، 4.14.15، أو 5.6.17).
-
مراقبة الأنشطة المشبوهة مثل اتصالات غير معتادة.
-
فحص الملفات المعدلة .
-
استخدام أنظمة كشف التسلل (IDS/IPS) للتنبيه عند محاولات استغلال الثغرات.
