Datadog Security Research a découvert que le groupe de menace Mimo a considérablement évolué, passant de l’attaque de Craft CMS à Magento, une plateforme de commerce électronique, en exploitant des vulnérabilités PHP-FPM.
Mimo utilise des mécanismes de persistance sophistiqués avec GSocket, des techniques d’évasion avancées basées sur la mémoire via les appels système memfd_create(), et une infrastructure de commande et de contrôle à plusieurs niveaux. Le groupe monétise les systèmes compromis par le cryptojacking et le proxyjacking, ce qui démontre une sophistication opérationnelle accrue.
L’analyse technique montre que Mimo utilise une charge utile modulaire basée sur Go avec quatre principaux modules (files, cmd, exploit, cron) pour séparer les fonctionnalités. Le malware exécute des appels système memfd_create() pour une exécution anonyme en mémoire, déploie le rootkit alamdar.so via une injection LD_PRELOAD, et établit une persistance via les services SystemD, rc.local, et les entrées crontab.
GSocket assure des communications C2 chiffrées à travers le Global Socket Relay Network avec un camouflage de processus en utilisant des noms de threads noyau codés en dur. Le groupe tente également des mouvements latéraux via l’extraction de clés SSH et l’analyse de sous-réseaux.
Cet article est une analyse de menace détaillée de l’évolution tactique du groupe Mimo, mettant en lumière leurs nouvelles méthodes d’attaque et leur portée élargie.
🔗 Source originale : https://securitylabs.datadoghq.com/articles/beyond-mimolette-tracking-mimo-expansion-magento-cms-docker/