Hackers Exploit Craft CMS Vulnerability to Inject Cryptocurrency Miner Malware
2025/05/27 gbhackers — Craft Content Management System (CMS) に存在する、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2025-32432 を、脅威アクターたちが悪用しているという。この脆弱性は、2025年2月中旬に Orange Cyberdefense により発見され、その後の 2025年4月25日に公開されたものだ。認証を必要としないため、深刻度を表す CVSS スコア 10.0 と評価されている。
この脆弱性が影響を及ぼす範囲は、Craft CMS のバージョン 3.0.0-RC1 〜 5.6.17 とされ、公開前から積極的に悪用されている。具体的には、2025年2月28日〜5月2日の間に、ハニーポットで複数のインシデントが記録されている。
この悪用により、パッチ未適用のシステムに重大なリスクが生じ、暗号通貨マイニング・ツールやプロキシウェアなどの悪意のペイロードの展開が容易になるという。
深刻なリモートコード実行 (RCE) 脆弱性
Mimo Intrusion Set (別名 Hezb) に関連すると思われる攻撃者は、脆弱性 CVE-2025-32432 を悪用して Web シェルを展開し、細工された GET/POST リクエストにより、リモートアクセスを達成した後に攻撃活動を開始している。
前述のハニーポット・データで確認されているように、これらのリクエストはサーバ側のセッション・ファイルを操作し、任意のコマンドを実行するものだ。
このアクセスに成功した脅威アクターは、”4l4md4r.sh” というスクリプトのダウンロード/実行を達成し、防御コンフィグクリア/競合プロセスの終了/”4l4md4r” ローダーなどの悪意のバイナリのダウンロードなどにより環境を準備する。
UPX でパックされた、この Go ベースのローダーは、権限を昇格させるものである。それに続いて、MoneroOcean プール経由で Monero マイニングを行う XMRig 暗号通貨マイナーを展開し、被害者の帯域幅を収益化するために IPRoyal プロキシウェアをインストールする。
詳細な感染チェーン
さらに、このローダーは、悪意のライブラリ “alamdar.so” を用いる LD_PRELOAD 手法により、プロセス検出から自身を隠蔽する。
前述の Monero ウォレットに関する Sekoia の分析では、ハッシュレートは 53.44 KH/s と低く、週あたり約 $9.45 の収益を生み出すものだという。この値は、2022年に報告された 540 KH/s から大幅に減少しており、多くの侵害されたシステムが、修復された可能性を示唆している。
その一方で Mimo には、Minus Ransomware などのランサムウェアの展開に関与していることを示す証拠があるという。2022年以降において、ある Bitcoin ウォレットに $35,000 以上の資金が流入している。しかも、この資金は、複数のアドレスを介してロンダリングされている。
一連のアーティファクトとソーシャルメディアの活動が示唆するのは、Mimo を背後で操るオペレーターの存在である。一連の活動で用いられる “EtxArny” や “N1tr0” といった識別子が関連するのは、PoC エクスプロイトや中東情勢に関連するイデオロギー的なコンテンツを掲載する TikTok アカウントである。
攻撃に使用された IP アドレスには、トルコのバルケシルに位置情報が特定されたものもあり、少なくとも1人のオペレーターの物理的な所在地を示している。
Sekoia Defend Sigma ルールによりフラグ付けされた、テンポラリ・ディレクトリでの異常なプロセス実行や、ダイナミック・リンカー・ハイジャックを監視することで、検出の機会が生じたとのことだ。
この攻撃が示すのは、新たな脆弱性を悪用する Mimo が、暗号通貨マイニング/プロキシサービス/ランサムウェアなどを通じて、収益源を多様化させる俊敏性である。それが浮き彫りにするのは、脆弱な Craft CMS インスタンスへのパッチ適用と、脅威検出機能を強化することの緊急性である。
侵害の兆候 (IoC)
| Type | Indicator | Description |
|---|---|---|
| File Hash | 1aa4d88a38f5a27a60cfc6d6995f065da074ee340789ed00ddc29abc29ea671e | IPRoyal Malware |
| File Hash | 3a71680ffb4264e07da4aaca16a3f8831b9a30d444215268e82b2125a98b94aa | XMRig Miner |
| File Hash | fc04f1ef05847607bce3b0ac3710c80c5ae238dcc7fd842cd15e252c18dd7a62 | alamdar.sh Script |
| File Hash | 7868cb82440632cc4fd7a451a351c137a39e1495c84172a17894daf1d108ee9a | alamdar.so Library |
| File Hash | 2e46816450ad1b4baa85e2a279031f37608657be93e1095238e2b6c36bbb3fd5 | Go Loader |
| URL | hxxp://15.188.246[.]198/alamdar.so | Malicious Download URL |
| Monero Wallet | 46HmQz11t8uN84P8xgThrQXSYm434VC7hhNR8be4QrGtM1Wa4cDH2GkJ2NNXZ6Dr4bYg6phNjHKYJ1QfpZRBFYW5V6qnRJN | Cryptomining Wallet |
| 4l4md4r[@]proton.me | IPRoyal Account |
この脆弱性については、2025/04/25 に「Craft CMS の脆弱性 CVE-2025-32432 の悪用を検出:Yii の脆弱性との連鎖が発生」という記事を投稿していますが、今もなお悪用が続いているとのことです。Craft CMS をご利用のチームは、十分にご注意ください。よろしければ、Craft CMS で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.