Mimo: Bedrohungsakteur nutzt Magento und Docker für Krypto-Mining

LONDON (IT BOLTWISE) – Der Bedrohungsakteur Mimo, bekannt für die Ausnutzung von Sicherheitslücken in Webanwendungen, hat seine Taktik geändert und zielt nun auf Magento CMS und fehlerhaft konfigurierte Docker-Instanzen ab.

Der Bedrohungsakteur Mimo, auch bekannt als Hezb, hat sich einen Namen gemacht, indem er N-Day-Sicherheitslücken in verschiedenen Webanwendungen ausnutzt, um Kryptowährungs-Miner zu installieren. Jüngste Berichte zeigen, dass Mimo seine Angriffe auf Magento CMS und falsch konfigurierte Docker-Instanzen ausgeweitet hat. Diese Entwicklung deutet darauf hin, dass Mimo möglicherweise größere kriminelle Aktivitäten plant, obwohl der finanzielle Gewinn durch Kryptowährungs-Mining und Bandbreitenmonetarisierung weiterhin im Vordergrund steht.

Die Sicherheitslücke CVE-2025-32432 in Craft CMS wurde bereits im Mai 2025 von Sekoia dokumentiert und von Mimo für Kryptojacking und Proxyjacking ausgenutzt. Neu beobachtete Angriffsketten zeigen, dass Mimo undeterminierte PHP-FPM-Schwachstellen in Magento-E-Commerce-Installationen missbraucht, um initialen Zugriff zu erlangen. Anschließend wird GSocket, ein legitimes Open-Source-Penetrationstool, eingesetzt, um einen dauerhaften Zugang zum Host über eine Reverse Shell zu etablieren.

Um der Erkennung zu entgehen, tarnt sich die GSocket-Binärdatei als legitimer oder kernelverwalteter Thread, sodass sie sich nahtlos in andere laufende Prozesse einfügt. Eine weitere bemerkenswerte Technik der Angreifer ist die Nutzung von In-Memory-Payloads mit memfd_create(), um einen ELF-Binary-Loader namens ‘4l4md4r’ zu starten, ohne Spuren auf der Festplatte zu hinterlassen. Dieser Loader ist verantwortlich für die Bereitstellung von IPRoyal-Proxyware und dem XMRig-Miner auf der kompromittierten Maschine, jedoch nicht, bevor die Datei ‘/etc/ld.so.preload’ modifiziert wird, um ein Rootkit zu injizieren, das die Anwesenheit dieser Artefakte verschleiert.

Die Verteilung eines Miners und von Proxyware unterstreicht einen zweigleisigen Ansatz von Mimo, um den finanziellen Gewinn zu maximieren. Die unterschiedlichen Einnahmequellen stellen sicher, dass die CPU-Ressourcen der kompromittierten Maschinen für das Mining von Kryptowährungen genutzt werden, während die ungenutzte Internetbandbreite der Opfer für illegale Proxy-Dienste monetarisiert wird. Die Verwendung von Proxyware, die typischerweise nur minimale CPU-Ressourcen verbraucht, ermöglicht einen unauffälligen Betrieb, der die Erkennung der zusätzlichen Monetarisierung verhindert, selbst wenn die Ressourcennutzung des Krypto-Miners gedrosselt wird.

Datadog hat auch beobachtet, dass die Bedrohungsakteure falsch konfigurierte Docker-Instanzen missbrauchen, die öffentlich zugänglich sind, um einen neuen Container zu starten, in dem ein bösartiger Befehl ausgeführt wird, um eine zusätzliche Nutzlast von einem externen Server abzurufen und auszuführen. Die in Go geschriebene modulare Malware ist mit Fähigkeiten ausgestattet, um Persistenz zu erreichen, Dateisystem-I/O-Operationen durchzuführen, Prozesse zu beenden und In-Memory-Ausführung durchzuführen. Sie dient auch als Dropper für GSocket und IPRoyal und versucht, sich über SSH-Brute-Force-Angriffe auf andere Systeme auszubreiten.

Diese Aktivitäten zeigen die Bereitschaft des Bedrohungsakteurs, eine Vielzahl von Diensten zu kompromittieren – nicht nur CMS-Anbieter –, um seine Ziele zu erreichen. Die Sicherheitsgemeinschaft muss wachsam bleiben und sicherstellen, dass Systeme ordnungsgemäß konfiguriert und auf dem neuesten Stand gehalten werden, um solchen Bedrohungen zu begegnen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!