Masjesu Botnet

אנליסטים של אבטחת סייבר חשפו בוטנט סודי ביותר שתוכנן במיוחד עבור התקפות מניעת שירות מבוזרות. פעולה זו, המכונה Masjesu, מסתובבת מאז 2023 כשירות DDoS להשכרה, המקודם בעיקר דרך ערוצי טלגרם.

במקום לרדוף אחר הדבקות המוניות, הבוטנט נוקט בגישה מאופקת ומחושבת. עיצובו מדגיש התמדה וחמקנות, תוך הימנעות מכוונת ממטרות בעלות פרופיל גבוה כמו רשתות הקשורות למשרד ההגנה. אסטרטגיה זו מפחיתה משמעותית את הסבירות לגילוי ולחיסול, ומאפשרת לפעולה להימשך לאורך זמן.

זהות כפולה ופעולות מוצפנות

Masjesu מכונה גם XorBot, שם שנגזר משימושו בטכניקות הצפנה מבוססות XOR. שיטות אלו מיושמות על מחרוזות, נתוני תצורה ומטענים מעורפלים, דבר המסבך את מאמצי הניתוח והזיהוי.

הבוטנט תועד לראשונה בדצמבר 2023 וקושר למפעיל המכונה 'synmaestro'. מהופעתו המוקדמת, הוא הפגין התמקדות ברורה בשמירה על נראות נמוכה תוך מתן אפשרות לשליטה מרחוק יעילה במערכות פגועות.

הרחבת ארסנל ויכולות ניצול

גרסה חדשה יותר של הבוטנט, שנצפתה כשנה לאחר מכן, הציגה שיפורים משמעותיים. היא שילבה מספר רב של הזרקת פקודות וניצול קוד מרחוק, המכוונים נגד מגוון רחב של מכשירי אינטרנט של הדברים, כולל נתבים, מצלמות, מכשירי DVR ו-NVR של מספר יצרנים גדולים.

עדכונים אלה כללו גם מודולים ייעודיים לביצוע מתקפות הצפה DDoS בנפח גבוה, וחיזקו את תפקידה כשירות תקיפה מסחרי.

יכולות מפתח כוללות:

• ניצול פגיעויות בארכיטקטורות חומרה מגוונות של IoT
• שילוב של 12 וקטורי תקיפה שונים לגישה ראשונית
• פריסת מודולים ייעודיים לפעולות DDoS נפחיות

זרימת עבודה של זיהום ומנגנוני התמדה

ברגע שמכשיר נפרץ, הנוזקה מתחילה שרשרת ביצוע מובנית שנועדה לשמור על שליטה ולמנוע הפרעות. היא יוצרת שקע המחובר לפורט TCP קשיח (55988), המאפשר תקשורת ישירה עם התוקף. אם שלב זה נכשל, תהליך ההדבקה מסתיים באופן מיידי.

אם זה מצליח, התוכנה הזדונית ממשיכה להשתמש בטכניקות שמירה על תקיפות, תוך דיכוי אותות סיום והשבתת כלים נפוצים כמו wget ו-curl, ככל הנראה כדי לחסל תוכנות זדוניות מתחרות. לאחר מכן היא מתחברת לשרת פקודה ובקרה חיצוני כדי לקבל הוראות ולשגר התקפות נגד מטרות ייעודיות.

הפצה עצמית ומיקוד אסטרטגי

למאסג'סו פונקציונליות של הפצה עצמית, המאפשרת לו לסרוק כתובות IP אקראיות לאיתור מערכות פגיעות. לאחר זיהוין, התקנים אלה משולבים בתשתית הבוטנט, מה שמרחיב את יכולת הפעולה שלו.

טקטיקה בולטת כוללת סריקה אחר פורט 52869, המקושר לשירות miniigd של Realtek SDK, שיטה שנוצלה בעבר על ידי בוטנטים אחרים כמו JenX ו-Satori.

הפיזור הגיאוגרפי של תנועת התקיפות מראה ריכוז ב:

• וייטנאם (כ-50% מהפעילות שנצפתה)
• אוקראינה, איראן, ברזיל, קניה והודו

למרות התפשטותה האגרסיבית, הבוטנט נמנע מלהתמקד בארגונים קריטיים או רגישים. ריסון מכוון זה מפחית את החשיפה המשפטית ומשפר את שרידותה לטווח ארוך.

אסטרטגיית מסחור וצמיחה

Masjesu ממשיכה להתפתח כשירות פשעי סייבר מובנה. מפעיליה מקדמים באופן פעיל יכולות דרך טלגרם, וממצבים אותה כפתרון ניתן להרחבה למיקוד ברשתות אספקת תוכן, תשתיות משחקים ומערכות ארגוניות.

הסתמכות זו על פלטפורמות מדיה חברתית לגיוס ופרסום הוכחה כיעילה, מאפשרת צמיחה יציבה ומשיכה של בסיס לקוחות המעוניין בהפעלת התקפות DDoS ללא מומחיות טכנית.

איום סייבר הולך וגובר ומתמשך

כמשפחת בוטנטים מתפתחת, Masjesu מפגינה מומנטום חזק הן בתחכום טכני והן בהתרחבות תפעולית. השילוב של חמקנות, ניצול ממוקד ונגישות מסחרית הופך אותה לאיום בולט בנוף הסייבר המודרני.

על ידי מתן עדיפות להתמדה על פני נראות ומינוף טכניקות תקיפה מתפתחות, רשת הבוטים ממשיכה לחדור ולשלוט בסביבות IoT ברחבי העולם תוך מזעור הסיכון לשיבושים.