Команда Akamai Security Intelligence and Response Team (SIRT) обнаружила активную эксплуатацию уязвимостей CVE-2024-6047 и CVE-2024-11120, связанных с инъекцией команд, на снятых с производства устройствах GeoVision Internet of Things (IoT).
Описание
В апреле 2025 года SIRT впервые обнаружил активность в honeypots, связанную с эксплуатацией уязвимостей, известных с июня и ноября 2024 года. Ботнет, злоупотребляющий этой уязвимостью, также использовал другие известные уязвимости, включая DigiEver. Сообщение в блоге включает список индикаторов компрометации для защиты от данной угрозы.
В начале апреля 2025 года Akamai SIRT обнаружила активность на URI /DateSetting.cgi в глобальной сети медовых точек, связанную с уязвимостями инъекции команд CVE-2024-6047 и CVE-2024-11120, присущими устройствам GeoVision. Уязвимости, хоть и известные, но с ограниченной информацией, были связаны с конкретным производителем.
Уязвимость затрагивает устройства GeoVision IoT, позволяя неавторизованным злоумышленникам внедрять и выполнять произвольные системные команды. Эксплойт, направленный на конечную точку /DateSetting.cgi, загружает и выполняет файл вредоносной программы Mirai с помощью уязвимости.
Путем дальнейшего анализа была обнаружена жестко закодированная C2-адресация и обнаружены баннеры на C2-серверах, связанные с инфраструктурой ботнета. Было отслежено сообщение, связанное с ранним ботнетом Infected Slurs/TBOTNET, который был замечен и исследователем безопасности Fox_threatintel. Это свидетельствует о наличии связей между ранними и современными формами угроз в киберпространстве.
Индикаторы компрометации
IPv4
- 176.65.144.232
- 176.65.144.253
- 198.23.212.246
- 209.141.44.28
- 51.38.137.114
Domains
- connect.antiwifi.dev
SHA256
- 0333c6ac43c6e977e9a1c5071194d3cf8aa01222194c6e7f2fd13e631d03522d
- 03b1506c474a6f62f2e2b73ba4995b14da70b27e6d0aaea92638197e94d937c3
- 074a261bf281da36cc91cd13f86c7a8f75fdf96807d525c24b22c48fe01584a3
- 11c0447f524d0fcb3be2cd0fbd23eb2cc2045f374b70c9c029708a9f2f4a4114
- 2cc4d952856a8f2e1dd73b175d730d9cc7a04c73cf6452c8d0411eedf3aed5d5
- 3d6a544b1f03df23e734a65b9f1e808ff513ad881f09745a3959d696075c057e
- 3f465182b5c594784e406a6a5de2f398bcc2e2ffc92d049a7990f37c267550a6
- 50c5b6c971c503240b91787d31f9314ded38d4f2700ff90deb032478b30aa0c5
- 5180e3050a4a5cff52dcd8e8bb39fb6cf59a264a8fb6ddcc239615b340f1b99a
- 58f7d61e3e474d5f5eccbba79556070220f52fa011b7cd24bdd96c23c338cd4b
- 5e721c013a6e8b2246aae86974f2163d3b57a7e6608a318ab84c44b1650e650a
- 64ca8dd1a2702e0463bab19a0b826f79c55cfd46e4e1b41c6c33d7e7aa2c7530
- 7a8a46ace3b9261c2c7a399dcae037ce4f185f52f94b893d5bc00cd1228fb13a
- 866b2dbbd1978be007460835e8f3d2e02c1b321f856a18ba3e53030d4effe69a
- 8df660bd1722a09c45fb213e591d1dab73f24d240c456865fe0e2dc85573d85e
- 9f05425478d03e4a2fd5b990fe5625d93c468b80a3880bb52475aa7561548582
- aaba1ce1f182122a7ea05683623ab2d9bd05a3507e0dfc95e8e4165f629f80a8
- bb2ab0879282c5c7f92a51e6482d3eb60a84ab184eca258ea550d9ed04bc5eda
- bf6984ccc9fb21beba3f492420901be0b0bace8d4530e6d2850f039622f1b96f
- dc21419b73566651b4c1e85879c0c98a4dcff8f7d206d9a97882200503658e9c
- de3c9ecb51564e4298ce7e4ff749be0a42d37824d2fd3d5b7fbab86a04105b88
- ecc794a86dcc51b1f74d8b1eb9e7e0158381faadaf4cb4ee8febd4ba17fd2516
- f05247a2322e212513ee08b2e8513f4c764bde7b30831736dfc927097baf6714