Rabatttilbud for flere lisenser
Trusseldatabase Botnett Masjesu Botnet

Masjesu Botnet

Med Mezo i Botnett
Oversett til:

Nettsikkerhetsanalytikere har avdekket et svært skjult botnett som er spesielt utviklet for distribuerte tjenestenektangrep. Denne operasjonen, kjent som Masjesu, har sirkulert siden 2023 som en DDoS-for-hire-tjeneste, primært promotert gjennom Telegram-kanaler.

I stedet for å forfølge masseinfeksjoner, bruker botnettet en tilbakeholden og kalkulert tilnærming. Utformingen vektlegger utholdenhet og sniking, og unngår bevisst høyprofilerte mål som nettverk tilknyttet Forsvarsdepartementet. Denne strategien reduserer sannsynligheten for oppdagelse og nedleggelse betydelig, slik at operasjonen kan vare over tid.

Dobbel identitet og krypterte operasjoner

Masjesu blir også referert til som XorBot, et navn som er avledet fra bruken av XOR-baserte krypteringsteknikker. Disse metodene brukes på obskure strenger, konfigurasjonsdata og nyttelaster, noe som kompliserer analyse- og deteksjonsarbeidet.

Botnettet ble først dokumentert i desember 2023 og koblet til en operatør kjent som «synmaestro». Helt fra starten av viste det et klart fokus på å opprettholde lav synlighet samtidig som det muliggjorde effektiv fjernkontroll av kompromitterte systemer.

Utvidelse av arsenal og utnyttelseskapasiteter

En nyere versjon av botnettet, observert omtrent ett år senere, introduserte betydelige forbedringer. Den inkluderte flere kommandoinjeksjoner og fjernutførelse av kode som var rettet mot et bredt spekter av Tingenes Internett-enheter, inkludert rutere, kameraer, DVR-er og NVR-er fra flere store produsenter.

Disse oppdateringene inkluderte også dedikerte moduler for å utføre store DDoS-flomangrep, noe som forsterker rollen som en kommersiell angrepstjeneste.

Viktige funksjoner inkluderer:

  • Utnyttelse av sårbarheter på tvers av ulike IoT-maskinvarearkitekturer
  • Integrering av 12 forskjellige angrepsvektorer for første tilgang
  • Implementering av spesialiserte moduler for volumetriske DDoS-operasjoner

Infeksjonsarbeidsflyt og persistensmekanismer

Når en enhet er kompromittert, starter skadevaren en strukturert utførelseskjede som er utformet for å opprettholde kontroll og forhindre interferens. Den etablerer en socket bundet til en hardkodet TCP-port (55988), som tillater direkte kommunikasjon med angriperen. Hvis dette trinnet mislykkes, avsluttes infeksjonsprosessen umiddelbart.

Hvis det lykkes, fortsetter skadevaren med vedvarende teknikker, undertrykker avslutningssignaler og deaktiverer vanlige verktøy som wget og curl, sannsynligvis for å eliminere konkurrerende skadevare. Deretter kobler den seg til en ekstern kommando- og kontrollserver for å motta instruksjoner og iverksette angrep mot angitte mål.

Selvutbredelse og strategisk målretting

Masjesu er utstyrt med selvforplantningsfunksjonalitet, som gjør det mulig å skanne tilfeldige IP-adresser for sårbare systemer. Når disse enhetene er identifisert, integreres de i botnettets infrastruktur, noe som utvider dets driftskapasitet.

En bemerkelsesverdig taktikk innebærer å skanne etter port 52869, tilknyttet Realtek SDKs miniigd-tjeneste, en metode som tidligere ble utnyttet av andre botnett som JenX og Satori.

Geografisk fordeling av angrepstrafikk viser konsentrasjon i:

  • Vietnam (omtrent 50 % av observert aktivitet)
  • Ukraina, Iran, Brasil, Kenya og India

Til tross for sin aggressive ekspansjon, unngår botnettet å målrette kritiske eller sensitive organisasjoner. Denne bevisste begrensningen reduserer juridisk eksponering og forbedrer langsiktig overlevelsesevne.

Kommersialisering og vekststrategi

Masjesu fortsetter å utvikle seg som en strukturert tjeneste for nettkriminalitet. Operatørene markedsfører aktivt funksjoner via Telegram, og posisjonerer den som en skalerbar løsning for å målrette innholdsleveringsnettverk, spillinfrastruktur og bedriftssystemer.

Denne avhengigheten av sosiale medieplattformer for rekruttering og annonsering har vist seg effektiv, og har muliggjort jevn vekst og tiltrukket seg en kundebase som er interessert i å iverksette DDoS-angrep uten teknisk ekspertise.

En voksende og vedvarende cybertrussel

Som en fremvoksende botnettfamilie viser Masjesu sterk fremgang både innen teknisk sofistikasjon og operasjonell ekspansjon. Kombinasjonen av stealth, målrettet utnyttelse og kommersiell tilgjengelighet gjør den til en bemerkelsesverdig trussel i det moderne cybersikkerhetslandskapet.

Ved å prioritere utholdenhet fremfor synlighet og utnytte utviklende angrepsteknikker, fortsetter botnettet å infiltrere og kontrollere IoT-miljøer over hele verden, samtidig som risikoen for avbrudd minimeres.

Trender

Mest sett

Laster inn...