Масјесу ботнет
Аналитичари сајбер безбедности открили су високо прикривени ботнет посебно дизајниран за дистрибуиране нападе ускраћивања услуге. Позната као Масјесу, ова операција кружи од 2023. године као услуга изнајмљивања DDoS-а, првенствено промовисана путем Телеграм канала.
Уместо да тежи масовним инфекцијама, ботнет усваја уздржан и прорачунат приступ. Његов дизајн наглашава упорност и прикривеност, намерно избегавајући високопрофилне мете као што су мреже повезане са Министарством одбране. Ова стратегија значајно смањује вероватноћу откривања и уклањања, омогућавајући операцији да опстане током времена.
Преглед садржаја
Двоструки идентитет и шифроване операције
Масјесу се такође назива XorBot, назив изведен из његове употребе техника шифровања заснованих на XOR-у. Ове методе се примењују на нејасне стрингове, податке о конфигурацији и корисне терете, што компликује анализу и напоре за откривање.
Ботнет је први пут документован у децембру 2023. године и повезан је са оператером познатим као „synmaestro“. Од свог најранијег појављивања, показао је јасан фокус на одржавању ниске видљивости, уз омогућавање ефикасне даљинске контроле угрожених система.
Проширење арсенала и могућности експлоатације
Новија верзија ботнета, примећена отприлике годину дана касније, увела је значајна побољшања. Укључивала је вишеструке експлоите за убризгавање команди и даљинско извршавање кода усмерене на широк спектар уређаја Интернета ствари, укључујући рутере, камере, DVR-ове и NVR-ове неколико великих произвођача.
Ова ажурирања су такође укључивала наменске модуле за извршавање DDoS напада великог обима, јачајући његову улогу као комерцијалне услуге за нападе.
Кључне могућности укључују:
- Искоришћавање рањивости у различитим IoT хардверским архитектурама
- Интеграција 12 различитих вектора напада за почетни приступ
- Распоређивање специјализованих модула за волуметријске DDoS операције
Ток рада инфекције и механизми перзистенције
Када је уређај угрожен, злонамерни софтвер покреће структурирани ланац извршавања осмишљен да одржи контролу и спречи ометање. Успоставља сокет повезан са чврсто кодираним TCP портом (55988), омогућавајући директну комуникацију са нападачем. Ако овај корак не успе, процес инфекције се одмах прекида.
Уколико успе, злонамерни софтвер наставља са техникама перзистентности, сузбијајући сигнале за завршетак и онемогућавајући уобичајене услужне програме као што су wget и curl, вероватно како би елиминисао конкурентски злонамерни софтвер. Затим се повезује са спољним сервером за командовање и контролу како би примао инструкције и покретао нападе на одређене циљеве.
Самопропагирање и стратешко циљање
Масјесу је опремљен функционалношћу самопропагације, што му омогућава скенирање насумичних ИП адреса у потрази за рањивим системима. Након идентификације, ови уређаји се укључују у инфраструктуру ботнета, проширујући његов оперативни капацитет.
Значајна тактика укључује скенирање порта 52869, повезаног са услугом miniigd компаније Realtek SDK, метод који су раније користили други ботнети попут JenX-а и Satori-ја.
Географска дистрибуција нападачког саобраћаја показује концентрацију у:
- Вијетнам (приближно 50% посматране активности)
- Украјина, Иран, Бразил, Кенија и Индија
Упркос агресивном ширењу, ботнет избегава да циља критичне или осетљиве организације. Ово намерно ограничавање смањује правну изложеност и побољшава дугорочни опстанак.
Комерцијализација и стратегија раста
Масјесу наставља да се развија као структурирана услуга за борбу против сајбер криминала. Његови оператери активно промовишу могућности путем Телеграма, позиционирајући га као скалабилно решење за циљање мрежа за испоруку садржаја, инфраструктуре за игре и пословних система.
Ово ослањање на платформе друштвених медија за регрутовање и оглашавање показало се ефикасним, омогућавајући сталан раст и привлачећи базу купаца заинтересованих за покретање DDoS напада без техничке стручности.
Растућа и упорна сајбер претња
Као нова породица ботнета, Masjesu показује снажан замах како у техничкој софистицираности, тако и у оперативном ширењу. Његова комбинација прикривености, циљане експлоатације и комерцијалне доступности чини га значајном претњом у савременом окружењу сајбер безбедности.
Дајући приоритет истрајности у односу на видљивост и користећи еволуирајуће технике напада, ботнет наставља да се инфилтрира и контролише IoT окружења широм света, истовремено минимизирајући ризик од поремећаја.
