Ботнет Mirai использует уязвимости в устройствах GeoVision IoT для инъекции команд

botnet

Команда Akamai Security Intelligence and Response Team (SIRT) обнаружила активную эксплуатацию уязвимостей CVE-2024-6047 и CVE-2024-11120, связанных с инъекцией команд, на снятых с производства устройствах GeoVision Internet of Things (IoT).

Описание

В апреле 2025 года SIRT впервые обнаружил активность в honeypots, связанную с эксплуатацией уязвимостей, известных с июня и ноября 2024 года. Ботнет, злоупотребляющий этой уязвимостью, также использовал другие известные уязвимости, включая DigiEver. Сообщение в блоге включает список индикаторов компрометации для защиты от данной угрозы.

В начале апреля 2025 года Akamai SIRT обнаружила активность на URI /DateSetting.cgi в глобальной сети медовых точек, связанную с уязвимостями инъекции команд CVE-2024-6047 и CVE-2024-11120, присущими устройствам GeoVision. Уязвимости, хоть и известные, но с ограниченной информацией, были связаны с конкретным производителем.

Уязвимость затрагивает устройства GeoVision IoT, позволяя неавторизованным злоумышленникам внедрять и выполнять произвольные системные команды. Эксплойт, направленный на конечную точку /DateSetting.cgi, загружает и выполняет файл вредоносной программы Mirai с помощью уязвимости.

Путем дальнейшего анализа была обнаружена жестко закодированная C2-адресация и обнаружены баннеры на C2-серверах, связанные с инфраструктурой ботнета. Было отслежено сообщение, связанное с ранним ботнетом Infected Slurs/TBOTNET, который был замечен и исследователем безопасности Fox_threatintel. Это свидетельствует о наличии связей между ранними и современными формами угроз в киберпространстве.

Индикаторы компрометации

IPv4

  • 176.65.144.232
  • 176.65.144.253
  • 198.23.212.246
  • 209.141.44.28
  • 51.38.137.114

Domains

  • connect.antiwifi.dev

SHA256

  • 0333c6ac43c6e977e9a1c5071194d3cf8aa01222194c6e7f2fd13e631d03522d
  • 03b1506c474a6f62f2e2b73ba4995b14da70b27e6d0aaea92638197e94d937c3
  • 074a261bf281da36cc91cd13f86c7a8f75fdf96807d525c24b22c48fe01584a3
  • 11c0447f524d0fcb3be2cd0fbd23eb2cc2045f374b70c9c029708a9f2f4a4114
  • 2cc4d952856a8f2e1dd73b175d730d9cc7a04c73cf6452c8d0411eedf3aed5d5
  • 3d6a544b1f03df23e734a65b9f1e808ff513ad881f09745a3959d696075c057e
  • 3f465182b5c594784e406a6a5de2f398bcc2e2ffc92d049a7990f37c267550a6
  • 50c5b6c971c503240b91787d31f9314ded38d4f2700ff90deb032478b30aa0c5
  • 5180e3050a4a5cff52dcd8e8bb39fb6cf59a264a8fb6ddcc239615b340f1b99a
  • 58f7d61e3e474d5f5eccbba79556070220f52fa011b7cd24bdd96c23c338cd4b
  • 5e721c013a6e8b2246aae86974f2163d3b57a7e6608a318ab84c44b1650e650a
  • 64ca8dd1a2702e0463bab19a0b826f79c55cfd46e4e1b41c6c33d7e7aa2c7530
  • 7a8a46ace3b9261c2c7a399dcae037ce4f185f52f94b893d5bc00cd1228fb13a
  • 866b2dbbd1978be007460835e8f3d2e02c1b321f856a18ba3e53030d4effe69a
  • 8df660bd1722a09c45fb213e591d1dab73f24d240c456865fe0e2dc85573d85e
  • 9f05425478d03e4a2fd5b990fe5625d93c468b80a3880bb52475aa7561548582
  • aaba1ce1f182122a7ea05683623ab2d9bd05a3507e0dfc95e8e4165f629f80a8
  • bb2ab0879282c5c7f92a51e6482d3eb60a84ab184eca258ea550d9ed04bc5eda
  • bf6984ccc9fb21beba3f492420901be0b0bace8d4530e6d2850f039622f1b96f
  • dc21419b73566651b4c1e85879c0c98a4dcff8f7d206d9a97882200503658e9c
  • de3c9ecb51564e4298ce7e4ff749be0a42d37824d2fd3d5b7fbab86a04105b88
  • ecc794a86dcc51b1f74d8b1eb9e7e0158381faadaf4cb4ee8febd4ba17fd2516
  • f05247a2322e212513ee08b2e8513f4c764bde7b30831736dfc927097baf6714
Комментарии: 0