บอทเน็ต Masjesu
นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้ค้นพบเครือข่ายบอทเน็ตที่ซ่อนเร้นอย่างมาก ซึ่งถูกออกแบบมาโดยเฉพาะสำหรับการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) เครือข่ายนี้รู้จักกันในชื่อ Masjesu และมีการใช้งานมาตั้งแต่ปี 2023 ในรูปแบบบริการ DDoS รับจ้าง โดยส่วนใหญ่เผยแพร่ผ่านช่องทาง Telegram
แทนที่จะมุ่งเป้าไปที่การแพร่ระบาดในวงกว้าง บอทเน็ตนี้กลับใช้วิธีการที่รอบคอบและวางแผนมาอย่างดี การออกแบบเน้นความคงทนและการพรางตัว โดยจงใจหลีกเลี่ยงเป้าหมายที่มีชื่อเสียง เช่น เครือข่ายที่เกี่ยวข้องกับกระทรวงกลาโหม กลยุทธ์นี้ช่วยลดโอกาสในการตรวจจับและทำลายได้อย่างมาก ทำให้การปฏิบัติการสามารถดำเนินต่อไปได้ในระยะยาว
สารบัญ
การยืนยันตัวตนสองแบบและการดำเนินการเข้ารหัส
Masjesu ยังถูกเรียกอีกชื่อหนึ่งว่า XorBot ซึ่งเป็นชื่อที่ได้มาจากการใช้เทคนิคการเข้ารหัสแบบ XOR วิธีการเหล่านี้ถูกนำมาใช้เพื่อปกปิดสตริง ข้อมูลการกำหนดค่า และเพย์โหลด ทำให้การวิเคราะห์และการตรวจจับทำได้ยากขึ้น
บอทเน็ตนี้ถูกเปิดเผยครั้งแรกในเดือนธันวาคม 2023 และเชื่อมโยงกับผู้ดำเนินการที่รู้จักกันในชื่อ 'synmaestro' ตั้งแต่เริ่มปรากฏตัวครั้งแรก มันแสดงให้เห็นอย่างชัดเจนถึงการมุ่งเน้นที่การรักษาความลับในขณะที่ทำให้สามารถควบคุมระบบที่ถูกบุกรุกจากระยะไกลได้อย่างมีประสิทธิภาพ
การขยายคลังแสงและขีดความสามารถในการแสวงหาประโยชน์
บอทเน็ตเวอร์ชันใหม่กว่าที่ตรวจพบประมาณหนึ่งปีต่อมา มีการปรับปรุงที่สำคัญหลายประการ โดยได้รวมเอาช่องโหว่การแทรกคำสั่งและการเรียกใช้โค้ดจากระยะไกลหลายรูปแบบ เพื่อโจมตีอุปกรณ์ Internet of Things (IoT) หลากหลายประเภท รวมถึงเราเตอร์ กล้อง เครื่องบันทึกวิดีโอ (DVR) และเครื่องบันทึกวิดีโอเครือข่าย (NVR) จากผู้ผลิตรายใหญ่หลายราย
การอัปเดตเหล่านี้ยังรวมถึงโมดูลเฉพาะสำหรับการดำเนินการโจมตี DDoS ปริมาณมาก ซึ่งเป็นการตอกย้ำบทบาทของบริการนี้ในฐานะบริการโจมตีเชิงพาณิชย์
ความสามารถหลักประกอบด้วย:
- การใช้ประโยชน์จากช่องโหว่ในสถาปัตยกรรมฮาร์ดแวร์ IoT ที่หลากหลาย
- การบูรณาการเวกเตอร์โจมตีที่แตกต่างกัน 12 แบบสำหรับการเข้าถึงครั้งแรก
- การใช้งานโมดูลเฉพาะทางสำหรับการโจมตี DDoS แบบปริมาณมาก
กระบวนการติดเชื้อและกลไกการคงอยู่ของเชื้อ
เมื่ออุปกรณ์ถูกบุกรุกแล้ว มัลแวร์จะเริ่มกระบวนการทำงานแบบมีโครงสร้างที่ออกแบบมาเพื่อรักษาการควบคุมและป้องกันการแทรกแซง มันจะสร้างซ็อกเก็ตที่ผูกกับพอร์ต TCP ที่กำหนดไว้ล่วงหน้า (55988) ซึ่งช่วยให้สามารถสื่อสารโดยตรงกับผู้โจมตีได้ หากขั้นตอนนี้ล้มเหลว กระบวนการติดเชื้อจะหยุดลงทันที
หากทำสำเร็จ มัลแวร์จะใช้เทคนิคการคงอยู่ต่อเนื่อง โดยการระงับสัญญาณการยุติการทำงานและปิดใช้งานยูทิลิตี้ทั่วไป เช่น wget และ curl ซึ่งน่าจะเป็นการกำจัดมัลแวร์คู่แข่ง จากนั้นจะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมภายนอกเพื่อรับคำสั่งและเริ่มโจมตีเป้าหมายที่กำหนดไว้
การแพร่กระจายด้วยตนเองและการกำหนดเป้าหมายเชิงกลยุทธ์
Masjesu มีฟังก์ชันการแพร่กระจายตัวเอง ทำให้สามารถสแกนหาระบบที่มีช่องโหว่ในที่อยู่ IP แบบสุ่ม เมื่อพบแล้ว อุปกรณ์เหล่านั้นจะถูกรวมเข้ากับโครงสร้างพื้นฐานของบอทเน็ต เพื่อขยายขีดความสามารถในการปฏิบัติงาน
กลยุทธ์ที่น่าสนใจอย่างหนึ่งคือการสแกนหาพอร์ต 52869 ซึ่งเชื่อมโยงกับบริการ miniigd ของ Realtek SDK ซึ่งเป็นวิธีการที่บอทเน็ตอื่นๆ เช่น JenX และ Satori เคยใช้มาก่อน
การกระจายตัวทางภูมิศาสตร์ของปริมาณการโจมตีแสดงให้เห็นว่ามีการกระจุกตัวอยู่ใน:
- เวียดนาม (ประมาณ 50% ของกิจกรรมที่สังเกตได้)
- ยูเครน อิหร่าน บราซิล เคนยา และอินเดีย
แม้ว่าบอทเน็ตนี้จะขยายตัวอย่างก้าวร้าว แต่ก็หลีกเลี่ยงการโจมตีองค์กรที่สำคัญหรืออ่อนไหว การยับยั้งชั่งใจโดยเจตนานี้ช่วยลดความเสี่ยงทางกฎหมายและเพิ่มความอยู่รอดในระยะยาว
กลยุทธ์การตลาดและการเติบโต
Masjesu ยังคงพัฒนาอย่างต่อเนื่องในฐานะบริการอาชญากรรมไซเบอร์ที่มีโครงสร้าง ผู้ดำเนินการต่างส่งเสริมความสามารถของตนอย่างแข็งขันผ่านทาง Telegram โดยวางตำแหน่งให้เป็นโซลูชันที่ปรับขนาดได้สำหรับการโจมตีเครือข่ายการส่งเนื้อหา โครงสร้างพื้นฐานเกม และระบบขององค์กร
การพึ่งพาแพลตฟอร์มโซเชียลมีเดียในการสรรหาและโฆษณาได้พิสูจน์แล้วว่ามีประสิทธิภาพ ช่วยให้ธุรกิจเติบโตอย่างต่อเนื่องและดึงดูดฐานลูกค้าที่สนใจในการโจมตี DDoS โดยไม่ต้องมีความเชี่ยวชาญด้านเทคนิค
ภัยคุกคามทางไซเบอร์ที่กำลังเติบโตและต่อเนื่อง
Masjesu เป็นตระกูลบอทเน็ตที่กำลังเติบโตอย่างรวดเร็ว แสดงให้เห็นถึงความก้าวหน้าอย่างมากทั้งในด้านความซับซ้อนทางเทคนิคและการขยายขอบเขตการปฏิบัติงาน การผสมผสานระหว่างการพรางตัว การโจมตีเป้าหมาย และการเข้าถึงได้ง่ายในเชิงพาณิชย์ ทำให้มันเป็นภัยคุกคามที่สำคัญในภูมิทัศน์ความปลอดภัยทางไซเบอร์สมัยใหม่
ด้วยการให้ความสำคัญกับการคงอยู่ของภัยคุกคามมากกว่าการเปิดเผยตัวตน และการใช้ประโยชน์จากเทคนิคการโจมตีที่พัฒนาขึ้นเรื่อยๆ บอทเน็ตจึงยังคงแทรกซึมและควบคุมสภาพแวดล้อม IoT ทั่วโลกต่อไปได้ ในขณะเดียวกันก็ลดความเสี่ยงที่จะเกิดการหยุดชะงักให้น้อยที่สุด
