Kripto Para Hırsızlığı: Mimo Grubunun Yeni Taktikleri
Son yıllarda kripto para hırsızlığı (cryptojacking) dünya genelinde yaygınlaşmaya başladı. Bu tür siber saldırılar, kötü niyetli kişilerin hedef aldıkları sistemlerde izinsiz olarak kripto para madenciliği yapmak için kötü amaçlı yazılımlar yüklemesiyle gerçekleşiyor. En son olarak, Mimo adlı bir siber suç grubu, Craft Content Management System (CMS) üzerinde bulunan bir güvenlik açığını kullanarak çeşitli kötü niyetli yazılımlar dağıttı. Bu yazıda, Mimo grubunun faaliyetleri ve kullandıkları yöntemler hakkında detaylı bilgi vereceğiz.
CVE-2025-32432 Açığı ve Kullanım Alanları
Mimo grubunun kullandığı güvenlik açığı CVE-2025-32432 olarak biliniyor. Bu açık, Craft CMS içinde yer alan ve maksimum kritikliği olan bir güvenlik açığıdır. Orange Cyberdefense SensePost tarafından ilk olarak 2025 Nisan ayında bildirilen bu açık, 2023 Şubat ayında yapılan saldırılarda keşfedildi. Mimo, bu açığı kullanarak hedef sistemlere izinsiz erişim sağlamış ve ardından web shell adı verilen bir araçla kalıcı erişim elde etmiştir.
Web shell, saldırganların uzaktan sistem kontrolü sağlamasına olanak tanır. Bu shell aracılığıyla, Mimo grubu bir shell script (örn. "4l4md4r.sh") indirip çalıştırarak hedef sistemdeki süreçleri etkisiz hale getirmiştir. Yazılım, sistemin önceden enfekte olup olmadığını kontrol ederek, bilinen kripto para madenciliği yazılımlarını kaldırmıştır. Ayrıca, mevcut XMRig işlemlerini sonlandırarak, yeni yüklerin kurulumuna zemin hazırlamıştır.
Mimo Loader ve Kötü Amaçlı Yükler
Saldırının bir parçası olarak, Mimo Loader adı verilen kötü amaçlı bir yük, hedef sistemde çalıştırılmıştır. Bu yüklü dosya, sistemin /etc/ld.so.preload dosyasında değişiklikler yaparak, kötü amaçlı yazılımların varlığını gizlemektedir. Mimo Loader, asıl olarak IPRoyal proxyware ve XMRig miner yükünü dağıtma amacı taşımaktadır. Böylelikle, saldırgan yalnızca sistem kaynaklarını kötüye kullanmakla kalmaz, ayrıca mağdurun internet bant genişliğini de diğer kötü amaçlı faaliyetler için kullanır.
Bu tür teknikler, cryptojacking ve proxyjacking olarak adlandırılmaktadır. İlk olarak sistemin kaynakları kullanarak kripto para madenciliği yapılırken, ikinci unsur, hedef sistemin bant genişliğinin başka suçlar için kullanılmasına olanak sağlamaktadır.
Grubun Geçmişi ve Faaliyetleri
Mimo grubu, Mart 2022’den beri aktif olan ve daha önce Apache Log4j, Atlassian Confluence ve PaperCut gibi yazılımlardaki güvenlik açıklarını kullanarak kripto madenciliği gerçekleştiren bir saldırı setidir. 2023 yılında, bu grubun ransomware (fidye yazılımı) saldırıları düzenlediği de gözlemlenmiştir. Bu saldırılarda, Mimus adı verilen Go tabanlı bir yazılım kullanılmıştır. Mimo grubunun geçmişi, güvenlik açıklarını istismar ederek genişlemektedir.
Sekoia tarafından yapılan araştırmalara göre, Mimo grubunun faaliyetleri Türkiye menşeli bir IP adresi üzerinden gerçekleştirilmiştir. Örneğin, "85.106.113[.]168" adresi üzerinden yapılan tespitler, grubun fiziksel olarak Türkiye’de bulunan bir aktör tarafından yönetildiğini gösteriyor. Bu durum, Mimo grubunun varlığını ve Türkiye’deki siber güvenlik tehdidinin boyutunu ortaya koyuyor.
Sonuç: Siber Güvenliğe Dikkat
Teknolojik gelişmelerle birlikte siber tehditler de her geçen gün artmaktadır. Mimo grubunun faaliyetleri, siber güvenlik alanında dikkat edilmesi gereken önemli unsurlardır. Kripto para madenciliği ve proxy kullanma yöntemleri, geleneksel ticari faaliyetlerin yanı sıra kişisel ve kurumsal bilgi güvenliğini de tehdit etmektedir. Bu nedenle, web yöneticileri ve sistem yöneticileri, güncel yazılımlarını sürekli olarak takip etmeli, güvenlik açıklarına karşı önlemlerini artırmalıdır. Sonuç olarak, güçlü bir siber güvenlik stratejisi geliştirmek, modern zamanların en önemli gereksinimlerinden biridir.
