Masjesu Botnet

تحلیلگران امنیت سایبری یک بات‌نت بسیار پنهانی را کشف کرده‌اند که به‌طور خاص برای حملات انکار سرویس توزیع‌شده طراحی شده است. این عملیات که با نام Masjesu شناخته می‌شود، از سال ۲۰۲۳ به‌عنوان یک سرویس اجاره‌ای DDoS در حال گردش بوده و عمدتاً از طریق کانال‌های تلگرام تبلیغ می‌شود.

این بات‌نت به جای دنبال کردن آلودگی‌های گسترده، رویکردی محدود و حساب‌شده را اتخاذ می‌کند. طراحی آن بر پایداری و مخفی‌کاری تأکید دارد و عمداً از اهداف مهم مانند شبکه‌های مرتبط با وزارت دفاع اجتناب می‌کند. این استراتژی احتمال شناسایی و از کار انداختن را به میزان قابل توجهی کاهش می‌دهد و به عملیات اجازه می‌دهد تا در طول زمان دوام بیاورد.

هویت دوگانه و عملیات رمزگذاری شده

Masjesu همچنین به عنوان XorBot شناخته می‌شود، نامی که از استفاده آن از تکنیک‌های رمزگذاری مبتنی بر XOR گرفته شده است. این روش‌ها برای مبهم کردن رشته‌ها، داده‌های پیکربندی و پیلودها اعمال می‌شوند و تلاش‌های تجزیه و تحلیل و تشخیص را پیچیده می‌کنند.

این بات‌نت اولین بار در دسامبر ۲۰۲۳ ثبت شد و به اپراتوری به نام «synmaestro» مرتبط بود. از همان ابتدا، تمرکز آشکاری بر حفظ قابلیت مشاهده کم و در عین حال امکان کنترل از راه دور کارآمد سیستم‌های آسیب‌دیده داشت.

گسترش زرادخانه و قابلیت‌های بهره‌برداری

نسخه جدیدتری از این بات‌نت که تقریباً یک سال بعد مشاهده شد، پیشرفت‌های قابل توجهی را ارائه داد. این بات‌نت شامل چندین تزریق دستور و اجرای کد از راه دور بود که طیف گسترده‌ای از دستگاه‌های اینترنت اشیا، از جمله روترها، دوربین‌ها، DVRها و NVRها از چندین تولیدکننده بزرگ را هدف قرار می‌داد.

این به‌روزرسانی‌ها همچنین شامل ماژول‌های اختصاصی برای اجرای حملات سیل‌آسای DDoS با حجم بالا بودند که نقش آن را به عنوان یک سرویس حمله تجاری تقویت می‌کرد.

قابلیت‌های کلیدی عبارتند از:

• سوءاستفاده از آسیب‌پذیری‌ها در معماری‌های سخت‌افزاری متنوع اینترنت اشیا
• ادغام ۱۲ بردار حمله مجزا برای دسترسی اولیه
• استقرار ماژول‌های تخصصی برای عملیات DDoS حجمی

گردش کار آلودگی و مکانیسم‌های پایداری

به محض اینکه دستگاهی مورد نفوذ قرار می‌گیرد، بدافزار یک زنجیره اجرای ساختاریافته را آغاز می‌کند که برای حفظ کنترل و جلوگیری از تداخل طراحی شده است. این بدافزار یک سوکت متصل به یک پورت TCP کدگذاری شده (55988) ایجاد می‌کند و امکان ارتباط مستقیم با مهاجم را فراهم می‌کند. اگر این مرحله با شکست مواجه شود، فرآیند آلودگی بلافاصله خاتمه می‌یابد.

در صورت موفقیت، بدافزار با تکنیک‌های پایداری، سرکوب سیگنال‌های خاتمه و غیرفعال کردن ابزارهای رایج مانند wget و curl، احتمالاً برای از بین بردن بدافزارهای رقیب، ادامه می‌دهد. سپس به یک سرور فرمان و کنترل خارجی متصل می‌شود تا دستورالعمل‌ها را دریافت کرده و حملاتی را علیه اهداف تعیین‌شده انجام دهد.

خود-تبلیغاتی و هدف‌گیری استراتژیک

Masjesu مجهز به قابلیت خودانتشاری است که آن را قادر می‌سازد آدرس‌های IP تصادفی را برای سیستم‌های آسیب‌پذیر اسکن کند. پس از شناسایی، این دستگاه‌ها در زیرساخت بات‌نت گنجانده می‌شوند و ظرفیت عملیاتی آن را گسترش می‌دهند.

یک تاکتیک قابل توجه شامل اسکن پورت ۵۲۸۶۹ است که با سرویس miniigd مربوط به Realtek SDK مرتبط است، روشی که قبلاً توسط سایر بات‌نت‌ها مانند JenX و Satori مورد استفاده قرار می‌گرفت.

توزیع جغرافیایی ترافیک حمله، تمرکز را در موارد زیر نشان می‌دهد:

• ویتنام (تقریباً ۵۰٪ از فعالیت‌های مشاهده‌شده)
• اوکراین، ایران، برزیل، کنیا و هند

با وجود گسترش تهاجمی، این بات‌نت از هدف قرار دادن سازمان‌های حیاتی یا حساس خودداری می‌کند. این محدودیت عمدی، احتمال مواجهه قانونی را کاهش داده و بقای طولانی‌مدت را افزایش می‌دهد.

استراتژی تجاری‌سازی و رشد

Masjesu به عنوان یک سرویس جرایم سایبری ساختاریافته همچنان در حال تکامل است. اپراتورهای آن به طور فعال قابلیت‌های خود را از طریق تلگرام تبلیغ می‌کنند و آن را به عنوان یک راه‌حل مقیاس‌پذیر برای هدف قرار دادن شبکه‌های تحویل محتوا، زیرساخت‌های بازی و سیستم‌های سازمانی معرفی می‌کنند.

این اتکا به پلتفرم‌های رسانه‌های اجتماعی برای جذب نیرو و تبلیغات، مؤثر واقع شده و رشد پایدار را امکان‌پذیر کرده و مشتریانی را جذب کرده است که علاقه‌مند به راه‌اندازی حملات DDoS بدون تخصص فنی هستند.

یک تهدید سایبری رو به رشد و مداوم

Masjesu به عنوان یک خانواده بات‌نت نوظهور، شتاب بالایی را هم در پیچیدگی فنی و هم در گسترش عملیاتی نشان می‌دهد. ترکیبی از پنهان‌کاری، سوءاستفاده هدفمند و دسترسی تجاری، آن را به یک تهدید قابل توجه در چشم‌انداز امنیت سایبری مدرن تبدیل می‌کند.

با اولویت دادن به پایداری بر قابلیت مشاهده و بهره‌گیری از تکنیک‌های حمله‌ی در حال تکامل، این بات‌نت همچنان به نفوذ و کنترل محیط‌های اینترنت اشیا در سراسر جهان ادامه می‌دهد و در عین حال خطر اختلال را به حداقل می‌رساند.