Современный ландшафт киберугроз продолжает стремительно развиваться, и одной из самых активных групп злоумышленников сегодня является Mimo, также известная под псевдонимом Hezb. Эта группа с длительной историей успешной эксплуатации уязвимостей в популярных веб-приложениях сместила акценты своей деятельности в сторону атаки на системы управления контентом, такие как Magento CMS, а также на неправильно сконфигурированные инстансы Docker. Целью их действий становится не только проникновение в инфраструктуру, но и установка скрытых криптомайнеров и прокси-программ, обеспечивающих многоплановую финансовую выгоду для преступников. Основная мотивация Mimo — извлечение прибыли через майнинг криптовалют и монетизацию трафика, причем новые исследуемые атаки демонстрируют растущую сложность и подготовленность группы, что может свидетельствовать о намерении перейти к более коварным формам киберпреступности. В мае 2025 года специалисты из Sekoia зафиксировали использование Mimo CVE-2025-32432 — критической уязвимости в Craft CMS, благодаря которой злоумышленники осуществляли криптоджекинг и проксиджекинг одновременно.
Данная методика стала базисом для дальнейших улучшений эксплойтов с применением новых тактик и инструментов. Ключевым элементом последних атак группы стала эксплуатация неустановленных уязвимостей PHP-FPM в Magento через плагины CMS. Получив первоначальный доступ, злоумышленники загружают в систему GSocket — легитимный, но злоупотребляемый инструмент для пентестинга. GSocket используется для обеспечения постоянного доступа через обратную оболочку, что значительно затрудняет обнаружение и нейтрализацию угрозы. Примечательно, что вредоносный бинарный файл маскируется под законный процесс или ядро операционной системы, позволяя длительное время оставаться незамеченным в общем списке системных процессов.
Еще одной продвинутой техникой является использование in-memory payloads с помощью системного вызова memfd_create(). Это позволяет загружать и выполнять ELF бинарный загрузчик с названием «4l4md4r» напрямую в оперативной памяти, без записи на диск. Таким образом, следы внедрения крайне сложно отследить при стандартных проверках файловой системы. Вирусоноситель запускает установку двух ключевых компонентов — майнера XMRig и прокси-сервиса IPRoyal. Перед этим происходит модификация системного файла /etc/ld.
so.preload, в котором внедряется rootkit для маскировки присутствия вредоносных артефактов. Такой комплексный подход способствует максимальному извлечению прибыли — вычислительные мощности зараженных устройств используются для добычи криптовалюты, а незадействованная пропускная способность сетевого соединения становится основой для нелегального прокси-сервиса. Особую опасность представляет тот факт, что проксиware потребляет минимальные ресурсы ЦП, что обеспечивает скрытность и снижение вероятности обнаружения, даже если майнер будет заметен и устранен. Это создает баланс между стабильным доходом и длительным присутствием злоумышленника в системе.
Кроме атак на Magento, специалисты компании Datadog выявили новую волну атак, направленных на неправильно настроенные открытые Docker-инстансы. Злоумышленники создают новые контейнеры и выполняют внутри них вредоносные команды, которые скачивают дополнительное ПО с удаленных серверов и активируют вредоносный модуль. Модульное вредоносное ПО, разработанное на языке Go, предоставляет злоумышленникам целый набор возможностей, включая сохранение доступа, операции с файловой системой, завершение процессов, загрузку компонентов в память и попытки распространения по сети с помощью brute-force атак через SSH. Данный сценарий демонстрирует расширение спектра атакуемых целей со стороны Mimo, выходя за рамки исключительно CMS и затрагивая инфраструктуру контейнеризации, которая становится ключевой в современных DevOps и облачных средах. Важно отметить, что специалисты по безопасности рекомендуют владельцам Magento и администраторам Docker тщательно проверить и усилить конфигурацию своих систем.
Регулярное обновление CMS и плагинов, устранение известных уязвимостей и ограничение публичного доступа к Docker-инстансам могут существенно снизить риск компрометации. Также мониторинг процессов и аномалий в ресурсопотреблении способен выявить подозрительную активность на ранних этапах. Действия группы Mimo ярко иллюстрируют тенденцию использования многоуровневых стратегий злоумышленников, при которых сочетание криптомайнинга и прокси-сервисов позволяет не только извлекать выгоду разными способами, но и увеличивает устойчивость присутствия в зараженных системах. Это заставляет специалистов по информационной безопасности постоянно адаптировать методы обнаружения и реагирования на атаки и разрабатывать комплексные подходы к защите. Возрастающая сложность эксплойтов, эксплуатирующих PHP-FPM в Magento и Docker, указывает на необходимость повышения квалификации ИТ-специалистов и внедрения современных средств киберзащиты.
