Masjesu Botnet

Analitičari kibernetičke sigurnosti otkrili su vrlo prikriveni botnet posebno dizajniran za distribuirane napade uskraćivanja usluge. Poznat kao Masjesu, ova operacija kruži od 2023. kao usluga DDoS-a za najam, prvenstveno promovirana putem Telegram kanala.

Umjesto masovnih infekcija, botnet usvaja suzdržan i proračunat pristup. Njegov dizajn naglašava upornost i prikrivenost, namjerno izbjegavajući visokoprofilne mete poput mreža povezanih s Ministarstvom obrane. Ova strategija značajno smanjuje vjerojatnost otkrivanja i uklanjanja, omogućujući operaciji da traje dulje vrijeme.

Dvostruki identitet i šifrirane operacije

Masjesu se također naziva XorBot, naziv izveden iz korištenja tehnika šifriranja temeljenih na XOR-u. Ove se metode primjenjuju na nejasne nizove znakova, konfiguracijske podatke i korisne terete, što komplicira analizu i detekciju.

Botnet je prvi put dokumentiran u prosincu 2023. i povezan je s operaterom poznatim kao 'synmaestro'. Od svog najranijeg pojavljivanja, pokazao je jasan fokus na održavanju niske vidljivosti uz omogućavanje učinkovitog daljinskog upravljanja kompromitiranim sustavima.

Proširenje arsenala i mogućnosti iskorištavanja

Novija verzija botneta, uočena otprilike godinu dana kasnije, uvela je značajna poboljšanja. Uključivala je višestruke exploite za ubrizgavanje naredbi i daljinsko izvršavanje koda usmjerene na širok raspon uređaja Interneta stvari, uključujući usmjerivače, kamere, DVR-ove i NVR-ove nekoliko velikih proizvođača.

Ova ažuriranja također su uključivala namjenske module za izvršavanje DDoS napada velikog broja korisnika, čime je ojačana njegova uloga kao komercijalne usluge za napade.

Ključne mogućnosti uključuju:

• Iskorištavanje ranjivosti u različitim IoT hardverskim arhitekturama
• Integracija 12 različitih vektora napada za početni pristup
• Implementacija specijaliziranih modula za volumetrijske DDoS operacije

Tijek rada infekcije i mehanizmi perzistencije

Nakon što je uređaj kompromitiran, zlonamjerni softver pokreće strukturirani lanac izvršenja osmišljen za održavanje kontrole i sprječavanje ometanja. Uspostavlja utičnicu vezanu za TCP port (55988) koji je čvrsto kodiran, omogućujući izravnu komunikaciju s napadačem. Ako ovaj korak ne uspije, proces zaraze odmah se prekida.

Ako uspije, zlonamjerni softver nastavlja s tehnikama perzistencije, potiskujući signale za prekid i onemogućavajući uobičajene uslužne programe poput wgeta i curla, vjerojatno kako bi eliminirao konkurentski zlonamjerni softver. Zatim se povezuje s vanjskim poslužiteljem za upravljanje i kontrolu kako bi primao upute i pokretao napade na određene ciljeve.

Samopropagacija i strateško ciljanje

Masjesu je opremljen funkcionalnošću samopropagacije, što mu omogućuje skeniranje nasumičnih IP adresa u potrazi za ranjivim sustavima. Nakon što se identificiraju, ovi uređaji se uključuju u infrastrukturu botneta, proširujući njegov operativni kapacitet.

Značajna taktika uključuje skeniranje porta 52869, povezanog s uslugom miniigd Realtek SDK-a, metodu koju su prethodno koristili drugi botneti poput JenX-a i Satorija.

Geografska distribucija napadačkog prometa pokazuje koncentraciju u:

• Vijetnam (otprilike 50% uočene aktivnosti)
• Ukrajina, Iran, Brazil, Kenija i Indija

Unatoč agresivnom širenju, botnet izbjegava ciljanje kritičnih ili osjetljivih organizacija. Ovo namjerno ograničavanje smanjuje pravnu izloženost i poboljšava dugoročnu preživljavanje.

Strategija komercijalizacije i rasta

Masjesu se nastavlja razvijati kao strukturirana usluga za kibernetički kriminal. Njegovi operateri aktivno promoviraju mogućnosti putem Telegrama, pozicionirajući ga kao skalabilno rješenje za ciljanje mreža za isporuku sadržaja, igraće infrastrukture i poslovnih sustava.

Ovo oslanjanje na platforme društvenih medija za regrutiranje i oglašavanje pokazalo se učinkovitim, omogućujući stalan rast i privlačeći bazu kupaca zainteresiranih za pokretanje DDoS napada bez tehničkog znanja.

Rastuća i uporna kibernetička prijetnja

Kao nova obitelj botneta, Masjesu pokazuje snažan zamah i u tehničkoj sofisticiranosti i u operativnom širenju. Njegova kombinacija prikrivenosti, ciljanog iskorištavanja i komercijalne dostupnosti čini ga značajnom prijetnjom unutar modernog krajolika kibernetičke sigurnosti.

Dajući prioritet upornosti nad vidljivošću i iskorištavajući tehnike napada koje se stalno razvijaju, botnet nastavlja infiltrirati i kontrolirati IoT okruženja diljem svijeta, istovremeno minimizirajući rizik od poremećaja.