Botnet Masjesu

Penganalisis keselamatan siber telah menemui botnet yang sangat rahsia yang direka khas untuk serangan penafian perkhidmatan teragih. Dikenali sebagai Masjesu, operasi ini telah diedarkan sejak tahun 2023 sebagai perkhidmatan DDoS untuk disewa, terutamanya dipromosikan melalui saluran Telegram.

Daripada mengejar jangkitan besar-besaran, botnet ini menggunakan pendekatan yang terkawal dan terkira. Reka bentuknya menekankan kegigihan dan kerahsiaan, dengan sengaja mengelakkan sasaran berprofil tinggi seperti rangkaian yang berkaitan dengan Jabatan Pertahanan. Strategi ini dengan ketara mengurangkan kemungkinan pengesanan dan penghapusan, membolehkan operasi bertahan dari semasa ke semasa.

Identiti Berganda dan Operasi Tersulit

Masjesu juga dirujuk sebagai XorBot, nama yang berasal daripada penggunaan teknik penyulitan berasaskan XOR. Kaedah ini digunakan untuk mengaburkan rentetan, data konfigurasi dan muatan, merumitkan usaha analisis dan pengesanan.

Botnet itu pertama kali didokumentasikan pada Disember 2023 dan dikaitkan dengan pengendali yang dikenali sebagai 'synmaestro'. Dari penampilan terawalnya, ia menunjukkan tumpuan yang jelas untuk mengekalkan keterlihatan yang rendah sambil membolehkan kawalan jauh yang cekap bagi sistem yang terjejas.

Memperluas Keupayaan Arsenal dan Eksploitasi

Versi botnet yang lebih baharu, yang diperhatikan kira-kira setahun kemudian, memperkenalkan penambahbaikan yang ketara. Ia menggabungkan pelbagai suntikan arahan dan eksploitasi pelaksanaan kod jauh yang menyasarkan pelbagai peranti Internet of Things, termasuk penghala, kamera, DVR dan NVR daripada beberapa pengeluar utama.

Kemas kini ini juga merangkumi modul khusus untuk melaksanakan serangan banjir DDoS volum tinggi, memperkukuh peranannya sebagai perkhidmatan serangan komersial.

Keupayaan utama termasuk:

• Eksploitasi kelemahan merentasi pelbagai seni bina perkakasan IoT
• Integrasi 12 vektor serangan berbeza untuk akses awal
• Pelaksanaan modul khusus untuk operasi DDoS volumetrik

Aliran Kerja Jangkitan dan Mekanisme Kegigihan

Sebaik sahaja peranti dicerobohi, perisian hasad akan memulakan rantaian pelaksanaan berstruktur yang direka untuk mengekalkan kawalan dan mencegah gangguan. Ia mewujudkan soket yang terikat pada port TCP berkod keras (55988), yang membolehkan komunikasi langsung dengan penyerang. Jika langkah ini gagal, proses jangkitan akan tamat serta-merta.

Jika berjaya, perisian hasad akan meneruskan teknik persistensi, menyekat isyarat penamatan dan melumpuhkan utiliti biasa seperti wget dan curl, yang berkemungkinan akan menghapuskan perisian hasad pesaing. Ia kemudiannya bersambung ke pelayan arahan dan kawalan luaran untuk menerima arahan dan melancarkan serangan terhadap sasaran yang ditetapkan.

Penyebaran Kendiri dan Penargetan Strategik

Masjesu dilengkapi dengan fungsi penyebaran kendiri, yang membolehkannya mengimbas alamat IP rawak untuk sistem yang terdedah. Setelah dikenal pasti, peranti ini digabungkan ke dalam infrastruktur botnet, mengembangkan kapasiti operasinya.

Satu taktik penting melibatkan pengimbasan untuk port 52869, yang dikaitkan dengan perkhidmatan miniigd Realtek SDK, kaedah yang sebelum ini dimanfaatkan oleh botnet lain seperti JenX dan Satori.

Taburan geografi trafik serangan menunjukkan kepekatan di:

• Vietnam (kira-kira 50% daripada aktiviti yang diperhatikan)
• Ukraine, Iran, Brazil, Kenya dan India

Walaupun terdapat pengembangan yang agresif, botnet ini mengelak daripada menyasarkan organisasi kritikal atau sensitif. Kekangan yang disengajakan ini mengurangkan pendedahan undang-undang dan meningkatkan kebolehtahanan jangka panjang.

Strategi Pengkomersialan dan Pertumbuhan

Masjesu terus berkembang sebagai perkhidmatan jenayah siber berstruktur. Pengendalinya secara aktif mempromosikan keupayaan melalui Telegram, meletakkannya sebagai penyelesaian yang boleh diskala untuk menyasarkan rangkaian penyampaian kandungan, infrastruktur permainan dan sistem perusahaan.

Pergantungan pada platform media sosial untuk pengambilan pekerja dan pengiklanan telah terbukti berkesan, membolehkan pertumbuhan yang stabil dan menarik kumpulan pelanggan yang berminat untuk melancarkan serangan DDoS tanpa kepakaran teknikal.

Ancaman Siber yang Semakin Berkembang dan Berterusan

Sebagai sebuah keluarga botnet yang baru muncul, Masjesu menunjukkan momentum yang kukuh dalam kecanggihan teknikal dan pengembangan operasi. Gabungan antara penyenyapan, eksploitasi yang disasarkan dan kebolehcapaian komersial menjadikannya ancaman ketara dalam landskap keselamatan siber moden.

Dengan mengutamakan kegigihan berbanding keterlihatan dan memanfaatkan teknik serangan yang berkembang, botnet terus menyusup masuk dan mengawal persekitaran IoT di seluruh dunia sambil meminimumkan risiko gangguan.