Masjesu botnet

Kiberbiztonsági elemzők lelepleztek egy rendkívül titkos botnetet, amelyet kifejezetten elosztott szolgáltatásmegtagadási támadásokra terveztek. A Masjesu néven ismert művelet 2023 óta működik bérelhető DDoS-szolgáltatásként, elsősorban a Telegram csatornáin keresztül.

A tömeges fertőzések üldözése helyett a botnet visszafogott és kiszámított megközelítést alkalmaz. Felépítése a kitartásra és a lopakodásra helyezi a hangsúlyt, szándékosan elkerülve a magas rangú célpontokat, például a Védelmi Minisztériummal kapcsolatos hálózatokat. Ez a stratégia jelentősen csökkenti az észlelés és az eltávolítás valószínűségét, lehetővé téve a művelet tartósságát.

Kettős identitás és titkosított műveletek

A Masjesut XorBot néven is emlegetik, amely név az XOR-alapú titkosítási technikák használatából ered. Ezeket a módszereket homályos karakterláncokra, konfigurációs adatokra és hasznos adatokra alkalmazzák, ami megnehezíti az elemzési és észlelési erőfeszítéseket.

A botnetet először 2023 decemberében dokumentálták, és egy „synmaestro” nevű operátorhoz kapcsolták. Legkorábbi megjelenésétől fogva egyértelműen arra összpontosított, hogy alacsony láthatóságot biztosítson, miközben lehetővé teszi a feltört rendszerek hatékony távirányítását.

Az arzenál és a kiaknázási képességek bővítése

A botnet egy újabb verziója, amelyet körülbelül egy évvel később figyeltek meg, jelentős fejlesztéseket vezetett be. Többszörös parancsbefecskendezést és távoli kódfuttatást kihasználó sérülékenységeket tartalmazott, amelyek a dolgok internetéhez (IoT) tartozó eszközök széles skáláját célozták meg, beleértve több nagy gyártó routereit, kameráit, DVR-jeit és NVR-jeit.

Ezek a frissítések dedikált modulokat is tartalmaztak a nagy volumenű DDoS-elárasztási támadások végrehajtásához, megerősítve a kereskedelmi támadási szolgáltatásként betöltött szerepét.

A főbb képességek a következők:

• A különféle IoT hardverarchitektúrák sebezhetőségeinek kihasználása
• 12 különálló támadási vektor integrálása a kezdeti hozzáféréshez
• Specializált modulok telepítése volumetrikus DDoS műveletekhez

Fertőzés munkafolyamata és perzisztencia mechanizmusai

Miután egy eszközt feltörnek, a rosszindulatú program egy strukturált végrehajtási láncot indít el, amelynek célja az irányítás fenntartása és a beavatkozás megakadályozása. Létrehoz egy fixen kódolt TCP-porthoz (55988) kötött socketet, lehetővé téve a közvetlen kommunikációt a támadóval. Ha ez a lépés sikertelen, a fertőzési folyamat azonnal leáll.

Siker esetén a kártevő a perzisztencia technikáival folytatja a tevékenységét, elnyomja a leállítási jeleket és letiltja az olyan elterjedt segédprogramokat, mint a wget és a curl, valószínűleg a versengő kártevők kiküszöbölése érdekében. Ezután csatlakozik egy külső parancs- és vezérlőkiszolgálóhoz, hogy utasításokat fogadjon és támadásokat indítson a kijelölt célpontok ellen.

Önterjedés és stratégiai célzás

A Masjesu önterjesztő funkcióval van felszerelve, amely lehetővé teszi a véletlenszerű IP-címek beolvasását sebezhető rendszerek után. Azonosítás után ezek az eszközök beépülnek a botnet infrastruktúrájába, bővítve annak működési kapacitását.

Egy figyelemre méltó taktika a Realtek SDK miniigd szolgáltatásához társított 52869-es port beolvasása, ezt a módszert korábban más botnetek, például a JenX és a Satori is alkalmazták.

A támadási forgalom földrajzi eloszlása a következő területekre koncentrálódik:

• Vietnam (a megfigyelt aktivitás körülbelül 50%-a)
• Ukrajna, Irán, Brazília, Kenya és India

Agresszív terjeszkedése ellenére a botnet kerüli a kritikus vagy érzékeny szervezetek célba vételét. Ez a szándékos korlátozás csökkenti a jogi kitettséget és növeli a hosszú távú túlélőképességet.

Kereskedelmi és növekedési stratégia

A Masjesu folyamatosan fejlődik, mint strukturált kiberbűnözési szolgáltatás. Üzemeltetői aktívan népszerűsítik képességeiket a Telegramon keresztül, skálázható megoldásként pozicionálva azt a tartalomszolgáltató hálózatok, a játékinfrastruktúra és a vállalati rendszerek célba vételére.

A közösségi média platformokra való támaszkodás a toborzás és a hirdetések terén hatékonynak bizonyult, lehetővé téve a folyamatos növekedést, és olyan ügyfélkört vonzott, amely technikai szakértelem nélkül is érdeklődik a DDoS-támadások indítása iránt.

Egy növekvő és állandó kiberfenyegetés

Egy feltörekvő botnetcsaládként a Masjesu erős lendületet mutat mind a technikai kifinomultság, mind a működési terjeszkedés terén. A lopakodás, a célzott kihasználás és a kereskedelmi elérhetőség kombinációja jelentős fenyegetést jelent a modern kiberbiztonsági környezetben.

Azzal, hogy a láthatósággal szemben a tartósságot helyezi előtérbe, és kihasználja a fejlődő támadási technikákat, a botnet továbbra is beszivárog az IoT környezetekbe és azokat világszerte irányítja, miközben minimalizálja a zavarok kockázatát.