Los actores de amenaza detrás de la explotación de las instancias vulnerables del Sistema de Gestión de Contenido de Cabricade (CMS) han cambiado sus tácticas a las instancias de Docker objetivo que fueron malentendidos como CMS Magento.
Esta actividad se atribuye a los actores de amenaza rastreados como MIMO (también conocido como HEZB). Tiene una larga historia de aprovechar fallas de seguridad N-Day en varias aplicaciones web para implementar mineros de criptomonedas.
«Si bien la principal motivación de MIMO continúa siendo financieramente a través de la minería de criptomonedas y la monetización de ancho de banda, el refinamiento reciente de las operaciones sugiere una preparación potencial para actividades criminales más ventajosas», dijo Datadog Security Labs en un informe publicado esta semana.
CVE-2025-32432 Explotación de MIMO, fallas de seguridad críticas de CMS, fallas de seguridad críticas para criptomonedas y camionetas proxy fueron documentados por Sekoia en mayo de 2025.
La cadena de ataque recientemente observada asociada con los actores de amenaza incluye el abuso de una vulnerabilidad indecisa de PHP-FPM en la instalación del comercio electrónico de Magento para obtener acceso inicial y usarlo para soltar GSocket, una herramienta legítima de prueba de penetración de código abierto, para establecer un acceso permanente a los huéspedes del huésped.
«El vector de acceso inicial es la inyección de comando PHP-FPM a través del complemento Magento CMS, lo que indica que MIMO tiene múltiples capacidades de exploits más allá del comercio adversario previamente observado», dijeron los investigadores Ryan Simon, Greg Foss y Matt Muir.
Para evitar la detección, los binarios de GSocket se plantean como hilos legítimos o administrados por el núcleo y se fusionan con otros procesos que pueden ejecutarse en el sistema.
Otra técnica notable empleada por los atacantes es usar cargas útiles en memoria usando memfd_create () para invocar un cargador binario ELF llamado «4L4MD4R» sin dejar trazas en el disco. El cargador es responsable de implementar el minero proxyware iproyal y el minero XMRIG en máquinas que comprometieron, no antes de modificar el archivo «/etc/ld.so.preload».
La distribución de mineros y proxyware destaca dos enfoques amplios adoptados por MIMO para maximizar las ganancias financieras. Un flujo de generación de ingresos claro asegura que los recursos de la CPU de la máquina comprometida sean secuestrados para extraer criptomonedas, mientras que el ancho de banda de Internet no utilizado de la víctima está monetizado para servicios de delegación de viviendas ilegales.
«El uso de proxyware que normalmente consume una CPU mínima permite que las operaciones de sigilo eviten la detección de monetización adicional, incluso si el uso de recursos de los mineros criptográficos está ranurado», dijeron los investigadores. «Esta monetización de niveles múltiples también aumenta la resiliencia. Incluso si se detectan y eliminan los mineros criptográficos, los componentes proxy pueden permanecer sin darse cuenta y garantizar los ingresos continuos de los actores de amenazas».
Datadog dijo que los actores de amenaza que abusan de conceptos erróneos de las instancias de Docker que están disponibles públicamente para generar nuevos contenedores también han observado a los actores de amenaza cuyos comandos maliciosos se ejecutan para recuperar y ejecutar cargas adicionales de servidores externos.
El malware modular escrito en GO está equipado con la capacidad de lograr la persistencia, realizar operaciones de E/S del sistema de archivos, terminar procesos y realizar la ejecución en memoria. También actúa como un gotero para GSocket e Iproyal e intenta propagarse a otros sistemas a través de ataques de fuerza bruta SSH.
«Esto demuestra la voluntad no solo de los proveedores de CMS sino de los actores de amenaza de comprometerse con diversos servicios para lograr sus objetivos», dijo Datadog.
Source link
