Masjesu Botnet

كشف محللو الأمن السيبراني عن شبكة بوتات سرية للغاية مصممة خصيصًا لشن هجمات الحرمان من الخدمة الموزعة. تُعرف هذه الشبكة باسم "ماسجيسو"، وهي تعمل منذ عام 2023 كخدمة لشن هجمات الحرمان من الخدمة الموزعة مقابل أجر، ويتم الترويج لها بشكل أساسي عبر قنوات تيليجرام.

بدلاً من السعي وراء انتشار واسع النطاق للعدوى، تتبنى شبكة الروبوتات نهجاً مدروساً ومتأنياً. يركز تصميمها على المثابرة والتخفي، متجنبةً عمداً الأهداف البارزة مثل الشبكات المرتبطة بوزارة الدفاع. تقلل هذه الاستراتيجية بشكل كبير من احتمالية اكتشافها وإيقافها، مما يسمح للعملية بالاستمرار لفترة طويلة.

الهوية المزدوجة والعمليات المشفرة

يُشار إلى Masjesu أيضًا باسم XorBot، وهو اسم مشتق من استخدامه لتقنيات التشفير القائمة على XOR. تُطبق هذه الأساليب على سلاسل نصية مبهمة وبيانات تكوين وحمولات، مما يُعقّد جهود التحليل والكشف.

تم توثيق شبكة الروبوتات لأول مرة في ديسمبر 2023 وتم ربطها بمشغل يُعرف باسم "synmaestro". ومنذ ظهورها الأول، أظهرت تركيزًا واضحًا على الحفاظ على مستوى منخفض من الرؤية مع تمكين التحكم عن بعد الفعال في الأنظمة المخترقة.

توسيع ترسانة القدرات واستغلالها

ظهرت نسخة أحدث من شبكة الروبوتات، بعد حوالي عام، وقد أدخلت تحسينات كبيرة. فقد تضمنت ثغرات متعددة لحقن الأوامر وتنفيذ التعليمات البرمجية عن بُعد، تستهدف مجموعة واسعة من أجهزة إنترنت الأشياء، بما في ذلك أجهزة التوجيه والكاميرات وأجهزة تسجيل الفيديو الرقمية وأجهزة تسجيل الفيديو الشبكية من العديد من الشركات المصنعة الكبرى.

تضمنت هذه التحديثات أيضًا وحدات مخصصة لتنفيذ هجمات DDoS ذات الحجم الكبير، مما يعزز دورها كخدمة هجوم تجارية.

تشمل القدرات الرئيسية ما يلي:

• استغلال الثغرات الأمنية في مختلف بنى أجهزة إنترنت الأشياء
• دمج 12 ناقل هجوم متميز للوصول الأولي
• نشر وحدات متخصصة لعمليات هجمات الحرمان من الخدمة الموزعة ذات الحجم الكبير

آلية سير العدوى وآليات استمرارها

بمجرد اختراق الجهاز، يبدأ البرنامج الخبيث سلسلة تنفيذ منظمة مصممة للحفاظ على السيطرة ومنع التدخل. يقوم بإنشاء اتصال مباشر بمنفذ TCP ثابت (55988)، مما يسمح بالاتصال المباشر مع المهاجم. إذا فشلت هذه الخطوة، تتوقف عملية الإصابة فورًا.

في حال نجاحها، تلجأ البرمجية الخبيثة إلى أساليب الثبات، فتقوم بحجب إشارات الإنهاء وتعطيل الأدوات الشائعة مثل wget وcurl، وذلك على الأرجح للقضاء على البرمجيات الخبيثة المنافسة. ثم تتصل بخادم تحكم خارجي لتلقي التعليمات وشن هجمات على أهداف محددة.

الانتشار الذاتي والاستهداف الاستراتيجي

يتمتع برنامج Masjesu بخاصية الانتشار الذاتي، مما يُمكّنه من مسح عناوين IP عشوائية بحثًا عن أنظمة ضعيفة. وبمجرد تحديد هذه الأجهزة، يتم دمجها في بنية شبكة الروبوتات، مما يُوسع نطاق عملياتها.

تتضمن إحدى التكتيكات البارزة فحص المنفذ 52869، المرتبط بخدمة miniigd الخاصة بـ Realtek SDK، وهي طريقة استخدمتها سابقًا شبكات الروبوتات الأخرى مثل JenX و Satori.

يُظهر التوزيع الجغرافي لحركة مرور الهجمات تركيزًا في:

• فيتنام (حوالي 50% من النشاط المرصود)
• أوكرانيا، إيران، البرازيل، كينيا، والهند

على الرغم من توسعها السريع، تتجنب شبكة الروبوتات استهداف المنظمات الحيوية أو الحساسة. هذا التقييد المتعمد يقلل من المخاطر القانونية ويعزز قدرتها على البقاء على المدى الطويل.

استراتيجية التسويق والنمو

يواصل Masjesu تطوره كخدمة منظمة للجرائم الإلكترونية. ويعمل مشغلوه بنشاط على الترويج لقدراته عبر تطبيق Telegram، مما يجعله حلاً قابلاً للتوسع لاستهداف شبكات توصيل المحتوى، والبنية التحتية للألعاب، وأنظمة المؤسسات.

لقد أثبت هذا الاعتماد على منصات التواصل الاجتماعي للتوظيف والإعلان فعاليته، مما أتاح نموًا مطردًا وجذب قاعدة عملاء مهتمة بشن هجمات DDoS دون خبرة فنية.

تهديد إلكتروني متنامٍ ومستمر

باعتبارها عائلة ناشئة من شبكات الروبوتات، تُظهر Masjesu زخمًا قويًا في كلٍ من التطور التقني والتوسع التشغيلي. إن مزيجها من التخفي والاستغلال المُستهدف وسهولة الوصول التجاري يجعلها تهديدًا ملحوظًا في مشهد الأمن السيبراني الحديث.

من خلال إعطاء الأولوية للاستمرارية على حساب الرؤية والاستفادة من أساليب الهجوم المتطورة، تستمر شبكة الروبوتات في التسلل إلى بيئات إنترنت الأشياء والتحكم فيها في جميع أنحاء العالم مع تقليل مخاطر التعطيل.