Masjesu botnetas

Kibernetinio saugumo analitikai atskleidė itin slaptą botnetą, specialiai sukurtą paskirstytoms paslaugų teikimo trikdymo atakoms. Ši operacija, žinoma kaip „Masjesu“, cirkuliuoja nuo 2023 m. kaip samdoma DDoS paslauga, daugiausia reklamuojama per „Telegram“ kanalus.

Užuot siekęs masinių infekcijų, botnetas taiko santūrų ir apskaičiuotą požiūrį. Jo dizainas pabrėžia atkaklumą ir slaptumą, sąmoningai vengiant žinomų taikinių, tokių kaip su Gynybos departamentu susiję tinklai. Ši strategija žymiai sumažina aptikimo ir pašalinimo tikimybę, todėl operacija gali tęstis ilgesnį laiką.

Dviguba tapatybė ir užšifruotos operacijos

„Masjesu“ taip pat vadinamas „XorBot“ – pavadinimas kilo dėl naudojamų XOR pagrįstų šifravimo metodų. Šie metodai taikomi neaiškioms eilutėms, konfigūracijos duomenims ir naudingosioms apkrovoms, o tai apsunkina analizės ir aptikimo pastangas.

Botnetas pirmą kartą buvo užfiksuotas 2023 m. gruodžio mėn. ir buvo susietas su operatoriumi, žinomu kaip „synmaestro“. Nuo pat pirmųjų pasirodymų jis aiškiai demonstravo tikslą išlaikyti mažą matomumą, tuo pačiu metu užtikrinant efektyvų nuotolinį pažeistų sistemų valdymą.

Arsenalo ir eksploatavimo galimybių plėtra

Naujesnė botneto versija, pastebėta maždaug po metų, pasižymėjo reikšmingais patobulinimais. Joje buvo įdiegtos kelios komandų įterpimo ir nuotolinio kodo vykdymo spragos, nukreiptos prieš įvairius daiktų interneto įrenginius, įskaitant maršrutizatorius, kameras, skaitmeninius vaizdo įrašymo įrenginius ir vaizdo įrašymo įrenginius iš kelių pagrindinių gamintojų.

Šie atnaujinimai taip pat apėmė specialius modulius, skirtus didelio masto DDoS potvynio atakoms vykdyti, sustiprinant jos, kaip komercinės atakų paslaugos, vaidmenį.

Pagrindinės galimybės:

• Įvairių daiktų interneto aparatinės įrangos architektūrų pažeidžiamumų išnaudojimas
• 12 skirtingų atakų vektorių integravimas pradinei prieigai
• Specializuotų modulių diegimas tūrinėms DDoS operacijoms

Infekcijos darbo eiga ir išlikimo mechanizmai

Kai įrenginys pažeidžiamas, kenkėjiška programa inicijuoja struktūrizuotą vykdymo grandinę, skirtą išlaikyti kontrolę ir užkirsti kelią trikdžiams. Ji sukuria prievadą, susietą su užkoduotu TCP prievadu (55988), leidžiantį tiesiogiai bendrauti su užpuoliku. Jei šis žingsnis nepavyksta, užkrėtimo procesas nedelsiant nutraukiamas.

Jei tai pavyksta, kenkėjiška programa tęsia darbą taikydama atkaklumo metodus, slopindama nutraukimo signalus ir išjungdama įprastas programas, tokias kaip „wget“ ir „curl“, taip greičiausiai pašalindama konkuruojančias kenkėjiškas programas. Tada ji prisijungia prie išorinio komandų ir valdymo serverio, kad gautų instrukcijas ir paleistų atakas prieš nurodytus taikinius.

Savęs sklaida ir strateginis taikymas

„Masjesu“ turi savaiminio sklidimo funkciją, leidžiančią nuskaityti atsitiktinius IP adresus ir ieškoti pažeidžiamų sistemų. Aptikus šiuos įrenginius, jie įtraukiami į botneto infrastruktūrą, taip išplečiant jo veikimo pajėgumus.

Pastebima taktika apima 52869 prievado, susijusio su „Realtek SDK“ „miniigd“ paslauga, nuskaitymą – metodą, kurį anksčiau naudojo kiti botnetai, tokie kaip „JenX“ ir „Satori“.

Geografinis atakų srauto pasiskirstymas rodo koncentraciją:

• Vietnamas (maždaug 50 % stebėto aktyvumo)
• Ukraina, Iranas, Brazilija, Kenija ir Indija

Nepaisant agresyvaus plitimo, botnetas vengia taikytis į kritines ar jautrias organizacijas. Toks sąmoningas apribojimas sumažina teisinį pažeidžiamumą ir pagerina ilgalaikį išlikimą.

Komercinės veiklos ir augimo strategija

„Masjesu“ toliau vystosi kaip struktūrizuota kibernetinių nusikaltimų tarnyba. Jos operatoriai aktyviai reklamuoja savo galimybes per „Telegram“, pozicionuodami ją kaip keičiamo mastelio sprendimą, skirtą turinio pristatymo tinklams, žaidimų infrastruktūrai ir įmonių sistemoms.

Šis pasitikėjimas socialinės žiniasklaidos platformomis įdarbinimo ir reklamos tikslais pasirodė esąs veiksmingas, nes leido nuolat augti ir pritraukti klientų bazę, kuri domisi DDoS atakų vykdymu neturėdama techninių žinių.

Auganti ir nuolatinė kibernetinė grėsmė

„Masjesu“, kaip sparčiai auganti botnetų šeima, demonstruoja didelį technologinį pažangumą ir veiklos plėtrą. Dėl savo slaptumo, tikslinio išnaudojimo ir komercinio prieinamumo jis kelia didelę grėsmę šiuolaikinėje kibernetinio saugumo aplinkoje.

Pirmenybę teikdamas atkaklumui, o ne matomumui, ir pasitelkdamas besivystančias atakų technikas, botnetas toliau skverbiasi į daiktų interneto aplinkas visame pasaulyje ir jas kontroliuoja, tuo pačiu sumažindamas sutrikimų riziką.