ハッカーらがSamsung MagicINFOとGeoVision IoTの脆弱性を悪用し、Miraiボットネットを展開（CVE-2024-6047、CVE-2024-7399他）

nosa

2025.05.07

5月7日：サイバーセキュリティ関連ニュース

ハッカーらがSamsung MagicINFOとGeoVision IoTの脆弱性を悪用し、Miraiボットネットを展開（CVE-2024-6047、CVE-2024-7399他）

The Hacker News – May 06, 2025

複数の脅威アクターがサポートの終了（EoL）したGeoVisionのIoTデバイスに存在する脆弱性を悪用し、これらをMiraiボットネットに取り込んで分散型サービス拒否（DDoS）攻撃を実行していることが明らかになった。

米セキュリティ企業Akamaiの研究チームが4月上旬に初めて確認したこの活動は、任意のシステムコマンド実行を許すOSコマンドインジェクションの脆弱性（CVE-2024-6047およびCVE-2024-11120、CVSS：9.8）を悪用するもの。「GeoVisionのIoTデバイスの/DateSetting.cgiエンドポイントを標的とし、szSrvIpAddrパラメータにコマンドを挿入している」と説明された。

同社が検知した攻撃では、ボットネットがMiraiマルウェアのARM版であるLZRDをダウンロード・実行するコマンドを挿入していることが確認されている。このボットネットが悪用した欠陥には、Hadoop YARNの脆弱性（CVE-2018-10561）や、2024年12月に注目を集めたDigiEverに影響を与えるバグなども含まれるという。さらにこのキャンペーンには、過去に「InfectedSlurs」の名で記録された活動との重複を示す証拠がいくつか見つかっている。

また今回の情報公開と時を同じくして、Samsung MagicINFO 9 Serverに存在するパストラバーサルの脆弱性（CVE-2024-7399、CVSS：8.8）の悪用事例が報告された。このバグを悪用すると、攻撃者がシステム権限で任意のファイルを書き込むことにより、Miraiボットネットの拡散が可能になるとされている。

この欠陥は昨年8月にSamsungが修正しているものの、概念実証（PoC）が公開された先月30日以降、複数の攻撃者によって悪用され、ボットネットのダウンロードを担うシェルスクリプトの取得・実行に利用されるようになっている。

Panda Shop：中国系カーディング集団の大規模スミッシング

Security Affairs – May 06, 2025

米セキュリティ企業Resecurityにより、新たなスミッシングキット「Panda Shop」が発見された。その戦術は世界中の消費者を標的とする中国系サイバー犯罪グループSmishing Triadのものを模倣しているが、改良された機能と新しいテンプレートを備えているようだ。

同社の調査では、Panda ShopをGoogle WalletとApple Payに利用し、クレジットカード情報や個人情報（PII）の収集に加え、トランザクションの傍受を行うアクターが複数特定された。さらにスミッシングの主な配信手段として、Google RCSとApple iMessageのほか、ネットワーク事業者向け専用機器のSMSゲートウェイも使われていることが明らかになった。

最新情報によると、特定された1組の脅威アクターは1日最大200万件のスミッシングメッセージを送信可能とのこと。この事実から、攻撃者側にはこれほどのボリュームの攻撃を行うのに必要な手段がすべてそろっていることが窺える。つまり、Smishing Triadや類似のサイバー犯罪グループは毎月最大6,000万人、年間で7億2,000万人の被害者を容易に攻撃できる可能性があり、これは米国の全人口を少なくとも年間2回攻撃できる規模だという。

Smishing TriadはResecurityに初めて特定された詐欺集団で、使用していたスミッシングキットや活動内容が2023年8月に判明。その際に同キットの脆弱性を悪用したResecurityに攻撃インフラを突き止められたものの、それ以降はステルス性を高めて戦術・技術・手順（TTP）を強化してきたとされている。

同グループはさまざまな役割を担うアフィリエイトを多く抱えるなど組織として規模が大きく、単一の脅威アクターではないこと、そして「Crime-as-a-Service」（サービスとしての犯罪）モデルを活用して自らのスミッシングキットをほかのサイバー犯罪者にも使用可能な状態にしていることなどが伝えられている。