Rabattoffert för flera licenser
Hotdatabas Botnät Masjesu Botnät

Masjesu Botnät

Med Mezo år Botnät
Översätt till:

Cybersäkerhetsanalytiker har avslöjat ett mycket hemligt botnät konstruerat specifikt för distribuerade denial-of-service-attacker. Denna operation, känd som Masjesu, har cirkulerat sedan 2023 som en DDoS-mot-uthyrningstjänst, främst marknadsförd via Telegram-kanaler.

I stället för att eftersträva massinfektioner använder botnätet en återhållsam och beräknande strategi. Dess design betonar uthållighet och smygande förmåga, och undviker medvetet högprofilerade mål som nätverk associerade med försvarsdepartementet. Denna strategi minskar avsevärt sannolikheten för upptäckt och nedläggning, vilket gör att operationen kan fortsätta över tid.

Dubbel identitet och krypterade operationer

Masjesu kallas även XorBot, ett namn som härstammar från dess användning av XOR-baserade krypteringstekniker. Dessa metoder tillämpas på obskyra strängar, konfigurationsdata och nyttolaster, vilket komplicerar analys- och detekteringsarbetet.

Botnätet dokumenterades första gången i december 2023 och kopplades till en operatör känd som "synmaestro". Redan från första början visade det ett tydligt fokus på att upprätthålla låg synlighet samtidigt som det möjliggjorde effektiv fjärrstyrning av komprometterade system.

Utöka arsenal och exploateringskapacitet

En nyare version av botnätet, som observerades ungefär ett år senare, introducerade betydande förbättringar. Den införlivade flera kommandoinjektioner och fjärrkodexekveringsattacker riktade mot ett brett spektrum av Internet of Things-enheter, inklusive routrar, kameror, DVR-enheter och NVR-enheter från flera stora tillverkare.

Dessa uppdateringar inkluderade även dedikerade moduler för att utföra stora DDoS-översvämningsattacker, vilket förstärker dess roll som en kommersiell attacktjänst.

Viktiga funktioner inkluderar:

  • Utnyttjande av sårbarheter i olika IoT-hårdvaruarkitekturer
  • Integrering av 12 distinkta attackvektorer för initial åtkomst
  • Implementering av specialiserade moduler för volymetriska DDoS-operationer

Infektionsarbetsflöde och persistensmekanismer

När en enhet komprometteras initierar skadlig kod en strukturerad exekveringskedja som är utformad för att upprätthålla kontroll och förhindra störningar. Den etablerar en socket som är bunden till en hårdkodad TCP-port (55988), vilket möjliggör direkt kommunikation med angriparen. Om detta steg misslyckas avslutas infektionsprocessen omedelbart.

Om det lyckas fortsätter skadliga programvaran med persistenstekniker, undertrycker avslutningssignaler och inaktiverar vanliga verktyg som wget och curl, vilket sannolikt eliminerar konkurrerande skadlig programvara. Den ansluter sedan till en extern kommando- och kontrollserver för att ta emot instruktioner och starta attacker mot utsedda mål.

Självförökning och strategisk inriktning

Masjesu är utrustad med självpropageringsfunktionalitet, vilket gör att den kan skanna slumpmässiga IP-adresser efter sårbara system. När dessa enheter har identifierats integreras de i botnätets infrastruktur, vilket utökar dess operativa kapacitet.

En anmärkningsvärd taktik involverar skanning efter port 52869, associerad med Realtek SDK:s miniigd-tjänst, en metod som tidigare utnyttjats av andra botnät som JenX och Satori.

Geografisk spridning av attacktrafik visar koncentration i:

  • Vietnam (ungefär 50 % av observerad aktivitet)
  • Ukraina, Iran, Brasilien, Kenya och Indien

Trots sin aggressiva expansion undviker botnätet att rikta in sig på kritiska eller känsliga organisationer. Denna avsiktliga begränsning minskar den juridiska exponeringen och förbättrar den långsiktiga överlevnaden.

Kommersialiserings- och tillväxtstrategi

Masjesu fortsätter att utvecklas som en strukturerad tjänst för cyberbrottslighet. Dess operatörer marknadsför aktivt sina funktioner via Telegram och positionerar den som en skalbar lösning för att rikta in sig på innehållsleveransnätverk, spelinfrastruktur och företagssystem.

Detta beroende av sociala medieplattformar för rekrytering och annonsering har visat sig effektivt, vilket möjliggör en stadig tillväxt och attraherar en kundbas som är intresserad av att genomföra DDoS-attacker utan teknisk expertis.

Ett växande och ihållande cyberhot

Som en framväxande botnätsfamilj uppvisar Masjesu stark framgång både inom teknisk sofistikering och operativ expansion. Dess kombination av stealth, riktad exploatering och kommersiell tillgänglighet gör den till ett anmärkningsvärt hot inom det moderna cybersäkerhetslandskapet.

Genom att prioritera uthållighet framför synlighet och utnyttja nya attacktekniker fortsätter botnätet att infiltrera och kontrollera IoT-miljöer över hela världen samtidigt som risken för störningar minimeras.

Trendigt

Mest sedda

Läser in...