Masjesu botnets
Kiberdrošības analītiķi ir atklājuši ļoti slepenu botnetu, kas īpaši izstrādāts izkliedētiem pakalpojumatteices uzbrukumiem. Šī operācija, kas pazīstama kā Masjesu, cirkulē kopš 2023. gada kā maksas DDoS pakalpojums, ko galvenokārt reklamē Telegram kanālos.
Tā vietā, lai īstenotu masveida infekcijas, botnets izmanto atturīgu un aprēķinātu pieeju. Tā dizains uzsver neatlaidību un slepenību, apzināti izvairoties no augsta līmeņa mērķiem, piemēram, tīkliem, kas saistīti ar Aizsardzības departamentu. Šī stratēģija ievērojami samazina atklāšanas un likvidēšanas iespējamību, ļaujot operācijai turpināties laika gaitā.
Satura rādītājs
Divkārša identitāte un šifrētas darbības
Masjesu sauc arī par XorBot, nosaukums atvasināts no tā, ka tas izmanto uz XOR balstītas šifrēšanas metodes. Šīs metodes tiek izmantotas neskaidrām virknēm, konfigurācijas datiem un vērtajām slodzēm, sarežģot analīzes un noteikšanas centienus.
Bottīkls pirmo reizi tika dokumentēts 2023. gada decembrī un bija saistīts ar operatoru, kas pazīstams kā “synmaestro”. Jau no pirmās parādīšanās reizes tas skaidri parādīja koncentrēšanos uz zemas redzamības saglabāšanu, vienlaikus nodrošinot efektīvu kompromitētu sistēmu attālinātu vadību.
Arsenāla un ekspluatācijas spēju paplašināšana
Jaunākā botneta versija, kas tika novērota aptuveni gadu vēlāk, ieviesa ievērojamus uzlabojumus. Tajā bija iekļautas vairākas komandu injekcijas un attālinātas koda izpildes izmantošanas iespējas, kas bija vērstas pret plašu lietu interneta ierīču klāstu, tostarp maršrutētājiem, kamerām, DVR un NVR no vairākiem lielākajiem ražotājiem.
Šajos atjauninājumos bija iekļauti arī īpaši moduļi liela apjoma DDoS plūdu uzbrukumu veikšanai, nostiprinot tā lomu kā komerciālam uzbrukumu pakalpojumam.
Galvenās iespējas ietver:
- Dažādu lietu interneta aparatūras arhitektūru ievainojamību izmantošana
- 12 dažādu uzbrukuma vektoru integrācija sākotnējai piekļuvei
- Specializētu moduļu izvietošana volumetriskām DDoS operācijām
Infekcijas darbplūsma un noturības mehānismi
Kad ierīce ir apdraudēta, ļaunprogrammatūra iedarbina strukturētu izpildes ķēdi, kas paredzēta kontroles saglabāšanai un traucējumu novēršanai. Tā izveido ligzdu, kas saistīta ar cietkodētu TCP portu (55988), nodrošinot tiešu saziņu ar uzbrucēju. Ja šis solis neizdodas, inficēšanas process nekavējoties tiek pārtraukts.
Ja tas izdodas, ļaunprogrammatūra turpina darbu, izmantojot noturības metodes, apspiežot pārtraukšanas signālus un atspējojot tādas izplatītas utilītas kā wget un curl, visticamāk, lai likvidētu konkurējošo ļaunprogrammatūru. Pēc tam tā izveido savienojumu ar ārēju komandu un vadības serveri, lai saņemtu instrukcijas un veiktu uzbrukumus norādītajiem mērķiem.
Pašizplatīšanās un stratēģiskā mērķauditorijas atlasīšana
Masjesu ir aprīkots ar pašizplatīšanās funkciju, kas ļauj tam skenēt nejaušas IP adreses, meklējot ievainojamas sistēmas. Pēc identificēšanas šīs ierīces tiek iekļautas botneta infrastruktūrā, paplašinot tā darbības jaudu.
Ievērojama taktika ietver 52869. porta skenēšanu, kas saistīts ar Realtek SDK miniigd pakalpojumu — metodi, ko iepriekš izmantoja citi botneti, piemēram, JenX un Satori.
Uzbrukumu datplūsmas ģeogrāfiskais sadalījums parāda koncentrāciju:
- Vjetnama (aptuveni 50% no novērotās aktivitātes)
- Ukraina, Irāna, Brazīlija, Kenija un Indija
Neskatoties uz agresīvo izplatību, botneta mērķis nav kritiski svarīgas vai sensitīvas organizācijas. Šī apzinātā ierobežošana samazina juridisko atbildību un uzlabo ilgtermiņa izdzīvošanas iespējas.
Komercializācijas un izaugsmes stratēģija
Masjesu turpina attīstīties kā strukturēts kibernoziegumu apkarošanas pakalpojums. Tā operatori aktīvi reklamē savas iespējas, izmantojot Telegram, pozicionējot to kā mērogojamu risinājumu satura piegādes tīklu, spēļu infrastruktūras un uzņēmumu sistēmu mērķēšanai.
Šī paļaušanās uz sociālo mediju platformām darbā pieņemšanas un reklāmas nolūkos ir izrādījusies efektīva, nodrošinot stabilu izaugsmi un piesaistot klientu bāzi, kas ir ieinteresēta veikt DDoS uzbrukumus bez tehniskām zināšanām.
Augošs un pastāvīgs kiberdrauds
Kā jauna botnetu saime, Masjesu demonstrē spēcīgu impulsu gan tehniskās sarežģītības, gan darbības paplašināšanās ziņā. Tā slepenības, mērķtiecīgas izmantošanas un komerciālas pieejamības apvienojums padara to par ievērojamu apdraudējumu mūsdienu kiberdrošības ainavā.
Prioritāti piešķirot noturībai, nevis redzamībai, un izmantojot attīstošās uzbrukuma metodes, botnets turpina iefiltrēties un kontrolēt lietu interneta (IoT) vidi visā pasaulē, vienlaikus samazinot traucējumu risku.
