Masjesu Botnet

Natuklasan ng mga cybersecurity analyst ang isang lubos na palihim na botnet na partikular na ginawa para sa mga distributed denial-of-service attack. Kilala bilang Masjesu, ang operasyong ito ay kumakalat na simula pa noong 2023 bilang isang DDoS-for-hire na serbisyo, na pangunahing itinataguyod sa pamamagitan ng mga channel ng Telegram.

Sa halip na ituloy ang malawakang impeksyon, ang botnet ay gumagamit ng isang maingat at kalkuladong pamamaraan. Binibigyang-diin ng disenyo nito ang pagtitiyaga at pagkukubli, sadyang iniiwasan ang mga kilalang target tulad ng mga network na nauugnay sa Department of Defense. Ang estratehiyang ito ay lubos na binabawasan ang posibilidad ng pagtuklas at pagtanggal, na nagpapahintulot sa operasyon na magtagal sa paglipas ng panahon.

Dual Identity at Mga Operasyong Naka-encrypt

Ang Masjesu ay tinutukoy din bilang XorBot, isang pangalang hinango mula sa paggamit nito ng mga pamamaraan ng pag-encrypt na nakabatay sa XOR. Ang mga pamamaraang ito ay inilalapat sa mga nakatagong string, datos ng configuration, at mga payload, na nagpapakomplikado sa mga pagsisikap sa pagsusuri at pagtuklas.

Ang botnet ay unang naidokumento noong Disyembre 2023 at nakaugnay sa isang operator na kilala bilang 'synmaestro.' Mula pa sa pinakaunang paglitaw nito, nagpakita ito ng malinaw na pokus sa pagpapanatili ng mababang visibility habang nagbibigay-daan sa mahusay na remote control ng mga nakompromisong sistema.

Pagpapalawak ng mga Kakayahan sa Arsenal at Pagsasamantala

Isang mas bagong bersyon ng botnet, na naobserbahan pagkalipas ng humigit-kumulang isang taon, ang nagpakilala ng mga makabuluhang pagpapahusay. Isinama nito ang maraming command injection at remote code execution exploits na naka-target sa malawak na hanay ng mga Internet of Things device, kabilang ang mga router, camera, DVR, at NVR mula sa ilang pangunahing tagagawa.

Kasama rin sa mga update na ito ang mga nakalaang module para sa pagsasagawa ng mga high-volume na DDoS flood attack, na nagpapatibay sa papel nito bilang isang komersyal na serbisyo sa pag-atake.

Kabilang sa mga pangunahing kakayahan ang:

• Paggamit ng mga kahinaan sa iba't ibang arkitektura ng hardware ng IoT
• Pagsasama ng 12 natatanging vector ng pag-atake para sa unang pag-access
• Pag-deploy ng mga espesyalisadong module para sa volumetric na operasyon ng DDoS

Mga Mekanismo ng Daloy ng Trabaho at Pagtitiyaga sa Impeksyon

Kapag nakompromiso ang isang device, magsisimula ang malware ng isang nakabalangkas na execution chain na idinisenyo upang mapanatili ang kontrol at maiwasan ang interference. Nagtatatag ito ng socket na nakatali sa isang hard-coded TCP port (55988), na nagpapahintulot sa direktang komunikasyon sa attacker. Kung mabigo ang hakbang na ito, agad na matatapos ang proseso ng impeksyon.

Kung magtagumpay, ang malware ay magpapatuloy gamit ang mga pamamaraan ng persistence, pinipigilan ang mga signal ng termination at hindi pinapagana ang mga karaniwang utility tulad ng wget at curl, na malamang na mag-aalis ng mga kakumpitensyang malware. Pagkatapos ay kumokonekta ito sa isang panlabas na command-and-control server upang makatanggap ng mga tagubilin at maglunsad ng mga pag-atake laban sa mga itinalagang target.

Pagpapalaganap ng Sarili at Istratehikong Pag-target

Ang Masjesu ay may kakayahang self-propagation, na nagbibigay-daan dito upang i-scan ang mga random na IP address para sa mga mahinang sistema. Kapag natukoy na, ang mga device na ito ay isinasama sa imprastraktura ng botnet, na nagpapalawak sa kapasidad ng operasyon nito.

Ang isang kapansin-pansing taktika ay ang pag-scan para sa port 52869, na nauugnay sa miniigd service ng Realtek SDK, isang pamamaraan na dating ginagamit ng iba pang mga botnet tulad ng JenX at Satori.

Ang heograpikong distribusyon ng trapiko ng pag-atake ay nagpapakita ng konsentrasyon sa:

• Vietnam (humigit-kumulang 50% ng naobserbahang aktibidad)
• Ukraine, Iran, Brazil, Kenya, at India

Sa kabila ng agresibong paglawak nito, iniiwasan ng botnet ang pag-target sa mga kritikal o sensitibong organisasyon. Ang sinasadyang pagpipigil na ito ay nagbabawas sa legal na pagkakalantad at nagpapahusay sa pangmatagalang kakayahang mabuhay.

Istratehiya sa Komersyalisasyon at Paglago

Patuloy na umuunlad ang Masjesu bilang isang nakabalangkas na serbisyo sa cybercrime. Aktibong itinataguyod ng mga operator nito ang mga kakayahan sa pamamagitan ng Telegram, na ipinoposisyon ito bilang isang scalable na solusyon para sa pag-target sa mga network ng paghahatid ng nilalaman, imprastraktura ng paglalaro, at mga sistema ng negosyo.

Napatunayang epektibo ang pag-asa sa mga platform ng social media para sa recruitment at advertising, na nagbibigay-daan sa matatag na paglago at pag-akit ng mga customer na interesado sa paglulunsad ng mga pag-atake ng DDoS nang walang teknikal na kadalubhasaan.

Isang Lumalaki at Patuloy na Banta sa Cyber

Bilang isang umuusbong na pamilya ng botnet, ang Masjesu ay nagpapakita ng malakas na momentum sa parehong teknikal na sopistikasyon at pagpapalawak ng operasyon. Ang kombinasyon ng stealth, naka-target na pagsasamantala, at komersyal na accessibility ay ginagawa itong isang kapansin-pansing banta sa loob ng modernong cybersecurity landscape.

Sa pamamagitan ng pagbibigay-priyoridad sa pagtitiyaga kaysa sa visibility at paggamit ng mga umuusbong na pamamaraan ng pag-atake, patuloy na lumulusot at kumokontrol ang botnet sa mga kapaligiran ng IoT sa buong mundo habang binabawasan ang panganib ng pagkagambala.