Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Botnets Masjesu Botnet

Masjesu Botnet

Μέχρι το Mezo το Botnets
Μετάφραση σε:

Αναλυτές κυβερνοασφάλειας αποκάλυψαν ένα εξαιρετικά μυστικό botnet που έχει σχεδιαστεί ειδικά για κατανεμημένες επιθέσεις άρνησης υπηρεσίας. Γνωστή ως Masjesu, αυτή η επιχείρηση κυκλοφορεί από το 2023 ως υπηρεσία DDoS προς ενοικίαση, η οποία προωθείται κυρίως μέσω καναλιών Telegram.

Αντί να επιδιώκει μαζικές μολύνσεις, το botnet υιοθετεί μια συγκρατημένη και υπολογισμένη προσέγγιση. Ο σχεδιασμός του δίνει έμφαση στην επιμονή και την μυστικότητα, αποφεύγοντας σκόπιμα στόχους υψηλού προφίλ, όπως δίκτυα που σχετίζονται με το Υπουργείο Άμυνας. Αυτή η στρατηγική μειώνει σημαντικά την πιθανότητα ανίχνευσης και εξουδετέρωσης, επιτρέποντας στην επιχείρηση να διαρκέσει με την πάροδο του χρόνου.

Διπλή Ταυτότητα και Κρυπτογραφημένες Λειτουργίες

Το Masjesu αναφέρεται επίσης ως XorBot, ένα όνομα που προέρχεται από τη χρήση τεχνικών κρυπτογράφησης που βασίζονται στο XOR. Αυτές οι μέθοδοι εφαρμόζονται σε σκοτεινές συμβολοσειρές, δεδομένα διαμόρφωσης και ωφέλιμα φορτία, περιπλέκοντας τις προσπάθειες ανάλυσης και ανίχνευσης.

Το botnet καταγράφηκε για πρώτη φορά τον Δεκέμβριο του 2023 και συνδέθηκε με έναν διαχειριστή γνωστό ως «synmaestro». Από την πρώτη του εμφάνιση, κατέδειξε σαφή εστίαση στη διατήρηση χαμηλής ορατότητας, επιτρέποντας παράλληλα τον αποτελεσματικό τηλεχειρισμό παραβιασμένων συστημάτων.

Επέκταση Οπλοστασίου και Δυνατοτήτων Εκμετάλλευσης

Μια νεότερη έκδοση του botnet, που παρατηρήθηκε περίπου ένα χρόνο αργότερα, εισήγαγε σημαντικές βελτιώσεις. Ενσωμάτωνε πολλαπλή έγχυση εντολών και απομακρυσμένη εκτέλεση κώδικα που στόχευαν ένα ευρύ φάσμα συσκευών του Διαδικτύου των Πραγμάτων, συμπεριλαμβανομένων δρομολογητών, καμερών, DVR και NVR από διάφορους μεγάλους κατασκευαστές.

Αυτές οι ενημερώσεις περιελάμβαναν επίσης ειδικές ενότητες για την εκτέλεση επιθέσεων DDoS flood μεγάλου όγκου, ενισχύοντας τον ρόλο του ως υπηρεσία εμπορικής επίθεσης.

Οι βασικές δυνατότητες περιλαμβάνουν:

  • Εκμετάλλευση τρωτών σημείων σε διάφορες αρχιτεκτονικές υλικού IoT
  • Ενσωμάτωση 12 διακριτών διανυσμάτων επίθεσης για αρχική πρόσβαση
  • Ανάπτυξη εξειδικευμένων ενοτήτων για ογκομετρικές επιχειρήσεις DDoS

Ροή εργασίας μόλυνσης και μηχανισμοί επιμονής

Μόλις μια συσκευή παραβιαστεί, το κακόβουλο λογισμικό ξεκινά μια δομημένη αλυσίδα εκτέλεσης που έχει σχεδιαστεί για να διατηρεί τον έλεγχο και να αποτρέπει τις παρεμβολές. Δημιουργεί μια υποδοχή συνδεδεμένη με μια θύρα TCP με ενσωματωμένο κώδικα (55988), επιτρέποντας την άμεση επικοινωνία με τον εισβολέα. Εάν αυτό το βήμα αποτύχει, η διαδικασία μόλυνσης τερματίζεται αμέσως.

Εάν είναι επιτυχές, το κακόβουλο λογισμικό προχωρά με τεχνικές persistence, καταστέλλοντας τα σήματα τερματισμού και απενεργοποιώντας κοινά βοηθητικά προγράμματα όπως το wget και το curl, πιθανότατα για την εξάλειψη του ανταγωνιστικού κακόβουλου λογισμικού. Στη συνέχεια, συνδέεται με έναν εξωτερικό διακομιστή εντολών και ελέγχου για να λαμβάνει οδηγίες και να εξαπολύει επιθέσεις εναντίον καθορισμένων στόχων.

Αυτοδιάδοση και Στρατηγική Στόχευση

Το Masjesu είναι εξοπλισμένο με λειτουργικότητα αυτοδιάδοσης, η οποία του επιτρέπει να σαρώνει τυχαίες διευθύνσεις IP για ευάλωτα συστήματα. Μόλις εντοπιστούν, αυτές οι συσκευές ενσωματώνονται στην υποδομή του botnet, επεκτείνοντας την επιχειρησιακή του ικανότητα.

Μια αξιοσημείωτη τακτική περιλαμβάνει τη σάρωση για τη θύρα 52869, η οποία σχετίζεται με την υπηρεσία miniigd του Realtek SDK, μια μέθοδο που προηγουμένως χρησιμοποιούνταν από άλλα botnets όπως το JenX και το Satori.

Η γεωγραφική κατανομή της κίνησης επιθέσεων δείχνει συγκέντρωση σε:

  • Βιετνάμ (περίπου το 50% της παρατηρούμενης δραστηριότητας)
  • Ουκρανία, Ιράν, Βραζιλία, Κένυα και Ινδία

Παρά την επιθετική επέκτασή του, το botnet αποφεύγει να στοχεύει κρίσιμους ή ευαίσθητους οργανισμούς. Αυτός ο σκόπιμος περιορισμός μειώνει την νομική έκθεση και ενισχύει τη μακροπρόθεσμη βιωσιμότητα.

Στρατηγική Εμπορευματοποίησης και Ανάπτυξης

Η Masjesu συνεχίζει να εξελίσσεται ως μια δομημένη υπηρεσία καταπολέμησης του κυβερνοεγκλήματος. Οι πάροχοι της προωθούν ενεργά τις δυνατότητές της μέσω του Telegram, τοποθετώντας την ως μια επεκτάσιμη λύση για τη στόχευση δικτύων παροχής περιεχομένου, υποδομών παιχνιδιών και εταιρικών συστημάτων.

Αυτή η εξάρτηση από τις πλατφόρμες κοινωνικής δικτύωσης για την πρόσληψη προσωπικού και τη διαφήμιση έχει αποδειχθεί αποτελεσματική, επιτρέποντας σταθερή ανάπτυξη και προσελκύοντας μια πελατειακή βάση που ενδιαφέρεται να εξαπολύσει επιθέσεις DDoS χωρίς τεχνική εμπειρογνωμοσύνη.

Μια αυξανόμενη και επίμονη κυβερνοαπειλή

Ως μια αναδυόμενη οικογένεια botnet, το Masjesu επιδεικνύει ισχυρή δυναμική τόσο στην τεχνική πολυπλοκότητα όσο και στην επιχειρησιακή επέκταση. Ο συνδυασμός της μυστικότητας, της στοχευμένης εκμετάλλευσης και της εμπορικής προσβασιμότητας το καθιστά μια αξιοσημείωτη απειλή στο σύγχρονο τοπίο της κυβερνοασφάλειας.

Δίνοντας προτεραιότητα στην επιμονή έναντι της ορατότητας και αξιοποιώντας τις εξελισσόμενες τεχνικές επίθεσης, το botnet συνεχίζει να διεισδύει και να ελέγχει περιβάλλοντα IoT σε όλο τον κόσμο, ελαχιστοποιώντας παράλληλα τον κίνδυνο διακοπής.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...