Ботнет Мас'єсу
Аналітики з кібербезпеки виявили прихований ботнет, спеціально розроблений для розподілених атак типу «відмова в обслуговуванні». Ця операція, відома як Masjesu, поширюється з 2023 року як послуга DDoS-атак за наймом, просуваючись переважно через канали Telegram.
Замість масового зараження, ботнет застосовує стриманий та розрахований підхід. Його дизайн робить акцент на наполегливості та прихованості, навмисно уникаючи гучних цілей, таких як мережі, пов'язані з Міністерством оборони. Ця стратегія значно знижує ймовірність виявлення та блокування, дозволяючи операції функціонувати довго.
Зміст
Подвійна ідентифікація та зашифровані операції
Masjesu також називають XorBot, назва походить від використання методів шифрування на основі XOR. Ці методи застосовуються до незрозумілих рядків, даних конфігурації та корисних навантажень, що ускладнює аналіз та виявлення.
Ботнет вперше було задокументовано у грудні 2023 року та пов'язано з оператором, відомим як «synmaestro». З самого початку своєї появи він чітко демонстрував зосередженість на підтримці низької видимості, водночас забезпечуючи ефективне дистанційне керування скомпрометованими системами.
Розширення арсеналу та можливостей експлуатації
Новіша версія ботнету, виявлена приблизно через рік, внесла значні покращення. Вона включала численні експлойти для впровадження команд та віддаленого виконання коду, спрямовані на широкий спектр пристроїв Інтернету речей, включаючи маршрутизатори, камери, відеореєстратори та мережеві відеореєстратори від кількох великих виробників.
Ці оновлення також включали спеціальні модулі для виконання масових DDoS-атак, що посилювало його роль як комерційного сервісу атак.
Ключові можливості включають:
- Використання вразливостей у різних архітектурах апаратного забезпечення Інтернету речей
- Інтеграція 12 різних векторів атаки для початкового доступу
- Розгортання спеціалізованих модулів для об'ємних DDoS-операцій
Робочий процес інфекції та механізми персистенції
Після компрометації пристрою шкідливе програмне забезпечення ініціює структурований ланцюжок виконання, призначений для підтримки контролю та запобігання перешкодам. Воно встановлює сокет, прив'язаний до жорстко закодованого TCP-порту (55988), що дозволяє здійснювати прямий зв'язок зі зловмисником. Якщо цей крок не спрацьовує, процес зараження негайно завершується.
У разі успіху шкідливе програмне забезпечення використовує методи персистентності, пригнічуючи сигнали завершення та вимикаючи поширені утиліти, такі як wget та curl, що, ймовірно, знищує конкуруюче шкідливе програмне забезпечення. Потім воно підключається до зовнішнього сервера командного контролю для отримання інструкцій та запуску атак проти визначених цілей.
Самопоширення та стратегічне таргетування
Masjesu оснащений функцією самопоширення, що дозволяє йому сканувати випадкові IP-адреси на предмет вразливих систем. Після ідентифікації ці пристрої інтегруються в інфраструктуру ботнету, розширюючи його операційні можливості.
Помітна тактика включає сканування порту 52869, пов'язаного з сервісом miniigd від Realtek SDK, метод, який раніше використовувався іншими ботнетами, такими як JenX та Satori.
Географічний розподіл атакуючого трафіку показує концентрацію в:
- В'єтнам (приблизно 50% спостережуваної активності)
- Україна, Іран, Бразилія, Кенія та Індія
Незважаючи на агресивне розширення, ботнет уникає атак на критично важливі або конфіденційні організації. Таке навмисне обмеження зменшує юридичний ризик та підвищує довгострокову виживаність.
Стратегія комерціалізації та зростання
Masjesu продовжує розвиватися як структурований сервіс боротьби з кіберзлочинністю. Його оператори активно просувають свої можливості через Telegram, позиціонуючи його як масштабоване рішення для атак на мережі доставки контенту, ігрову інфраструктуру та корпоративні системи.
Така залежність від платформ соціальних мереж для рекрутингу та реклами виявилася ефективною, забезпечуючи стабільне зростання та залучаючи клієнтську базу, зацікавлену в здійсненні DDoS-атак без технічних знань.
Зростаюча та постійна кіберзагроза
Як нове сімейство ботнетів, Masjesu демонструє потужний імпульс як у технічній досконалості, так і в операційному розширенні. Поєднання прихованості, цілеспрямованої експлуатації та комерційної доступності робить його значною загрозою в сучасному ландшафті кібербезпеки.
Надаючи пріоритет стійкості над видимістю та використовуючи методи атак, що розвиваються, ботнет продовжує проникати та контролювати середовища Інтернету речей по всьому світу, мінімізуючи ризик збоїв.
