Mimo黑客利用Craft CMS漏洞(CVE-2025-32432)！挖矿、流量劫持，更演变为勒索软件威胁！

近期，以经济利益为主要驱动的黑客组织“Mimo”被发现正积极利用Craft CMS内容管理系统中一个新近披露的远程代码执行漏洞（CVE-2025-32432）。一旦成功利用此“最高级别”漏洞，攻击者会在受害服务器上部署包括XMRig挖矿程序、“Mimo Loader”加载器及IPRoyal住宅代理软件（Proxyware）在内的多重恶意负载，甚至已显露出向勒索软件攻击演变的危险趋势。

漏洞背景

CVE-2025-32432漏洞已由Craft CMS官方在3.9.15、4.14.15 和 5.6.17 版本中修复。该漏洞由Orange Cyberdefense SensePost于2025年4月首次公开，但相关在野攻击活动最早可追溯至2025年2月。

Mimo攻击技术细节深度剖析

1. 初始入侵与Web Shell植入
   

   Mimo组织首先利用CVE-2025-32432漏洞获取对目标Craft CMS服务器的未授权访问权限，随即部署Web Shell作为持久化远程控制后门。

2. 恶意脚本下载与独特指纹
   

   攻击者通过Web Shell，使用curl、wget或Python的urllib2库下载并执行远程Shell脚本 4l4md4r.sh。Sekoia公司的研究员特别指出，在利用Python下载时，攻击者将urllib2库导入并赋予了别名fbi。这一罕见且带有挑衅意味的命名（可能影射美国联邦调查局FBI），不仅暴露了攻击者的某些心理特征，更可作为威胁猎捕中识别此类攻击的独特行为指纹。

3. 环境清理与核心加载器启动
   

   4l4md4r.sh脚本会先清除受害系统中的其他挖矿程序和进程，确保自身“挖矿”和“代理”业务的独占性，随后投递并启动名为 4l4md4r 的ELF二进制可执行文件。

4. Mimo Loader的隐蔽运作与多重负载
   

   4l4md4r（即“Mimo Loader”）的核心隐蔽伎俩之一是修改Linux系统中的/etc/ld.so.preload文件。这个文件相当于一个“优先通行证”，能让指定的恶意软件模块（本案中为alamdar.so）在其他正常程序加载前就被系统悄悄载入，从而达到完美隐藏恶意进程、逃避常规检测的目的。

   其最终目标是部署：

• XMRig挖矿程序
  
  进行Cryptojacking，非法消耗服务器算力。
• IPRoyal Proxyware
  
  进行Proxyjacking，即将受害者的互联网带宽资源暗中转售或用于承载其他网络流量（如广告欺诈、注册虚假账户等），为攻击者牟利。

Mimo黑客组织画像：从资源滥用到勒索威胁的演变

Mimo组织自2022年3月以来持续活跃，以快速利用新披露漏洞部署挖矿程序著称，其攻击工具库曾包含针对Apache Log4j (CVE-2021-44228)、Atlassian Confluence (CVE-2022-26134)、PaperCut (CVE-2023–27350)和Apache ActiveMQ (CVE-2023-46604)等严重漏洞的利用代码。

更为严峻的是，Mimo的攻击野心并未止步于资源滥用。 根据AhnLab在2024年1月的报告，Mimo组织在2023年已开始部署名为Mimus的Go语言勒索软件（开源MauriCrypt项目的分支）。这一转变标志着Mimo正将其攻击策略从相对“温和”的资源窃取，升级至危害性更大、直接勒索赎金的攻击模式。

Sekoia的研究强调，Mimo组织展现出极高的响应速度和技术敏捷性，往往在漏洞细节及PoC（概念验证代码）公布后的极短时间内便完成武器化并发起攻击。此次对Craft CMS漏洞的快速利用（源于土耳其IP 85.106.113[.]168），再次佐证了其高效率的攻击作业链。

紧急应对与防护建议

所有Craft CMS用户：首要且最关键的行动是立即升级您的系统！

1. 立即修补漏洞
   

   请火速检查您的Craft CMS版本，确保已升级至以下或更新的安全版本：

   这是抵御此类攻击最直接、最有效的防线。

• Craft CMS 3.x: 3.9.15 或更高版本
• Craft CMS 4.x: 4.14.15 或更高版本
• Craft CMS 5.x: 5.6.17 或更高版本
2. 全面安全排查与加固
• 检查Web Shell
  
  仔细排查服务器Web目录下是否存在未知或可疑的脚本文件（如PHP, ASPX等Web Shell）。
• 监控异常进程与文件
  
  留意系统中是否存在名为4l4md4r、alamdar.so的异常进程或文件，以及有无XMRig等挖矿特征。
• 审查关键配置文件
  
  检查/etc/ld.so.preload文件内容是否被恶意篡改。
• 识别恶意脚本特征
  
  留意可疑Python脚本活动，特别是包含import urllib2 as fbi这类独特指纹的代码。
3. 强化纵深防御
• 部署WAF/IPS
  
  使用Web应用防火墙（WAF）和入侵防御系统（IPS）拦截已知攻击特征和异常请求。
• 严格访问控制
  
  遵循最小权限原则，限制不必要的网络端口和服务暴露。
• 定期审计与监控
  
  定期审计服务器日志，监控异常网络连接、系统调用及文件变更。

Mimo组织的持续活跃、快速武器化漏洞的能力及其向勒索软件演进的趋势，对所有互联网服务提供者和用户都构成了严峻挑战。请务必保持高度警惕，迅速行动，修补漏洞，加强防御。

原文始发于微信公众号（技术修道场）：Mimo黑客利用Craft CMS漏洞(CVE-2025-32432)！挖矿、流量劫持，更演变为勒索软件威胁！