Mạng lưới Botnet Masjesu
Các nhà phân tích an ninh mạng đã phát hiện ra một mạng botnet cực kỳ bí mật được thiết kế đặc biệt cho các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Được biết đến với tên gọi Masjesu, hoạt động này đã được lưu hành từ năm 2023 như một dịch vụ tấn công DDoS thuê, chủ yếu được quảng bá thông qua các kênh Telegram.
Thay vì theo đuổi các cuộc tấn công diện rộng, mạng botnet này áp dụng một cách tiếp cận thận trọng và có tính toán. Thiết kế của nó nhấn mạnh vào sự bền bỉ và khả năng tàng hình, cố tình tránh các mục tiêu quan trọng như các mạng lưới liên quan đến Bộ Quốc phòng. Chiến lược này làm giảm đáng kể khả năng bị phát hiện và triệt phá, cho phép hoạt động này kéo dài theo thời gian.
Mục lục
Danh tính kép và hoạt động mã hóa
Masjesu còn được gọi là XorBot, tên gọi này xuất phát từ việc nó sử dụng các kỹ thuật mã hóa dựa trên phép toán XOR. Các phương pháp này được áp dụng để làm mờ các chuỗi ký tự, dữ liệu cấu hình và dữ liệu tải trọng, làm phức tạp các nỗ lực phân tích và phát hiện.
Mạng botnet này được ghi nhận lần đầu tiên vào tháng 12 năm 2023 và có liên quan đến một người điều hành được biết đến với biệt danh 'synmaestro'. Ngay từ khi xuất hiện, nó đã thể hiện rõ sự tập trung vào việc duy trì tính bảo mật cao trong khi vẫn cho phép điều khiển từ xa hiệu quả các hệ thống bị xâm nhập.
Mở rộng kho vũ khí và khả năng khai thác
Một phiên bản mới hơn của mạng botnet, được phát hiện khoảng một năm sau đó, đã mang đến những cải tiến đáng kể. Nó tích hợp nhiều lỗ hổng tấn công chèn lệnh và thực thi mã từ xa nhắm vào nhiều thiết bị Internet of Things, bao gồm bộ định tuyến, camera, DVR và NVR từ một số nhà sản xuất lớn.
Các bản cập nhật này cũng bao gồm các mô-đun chuyên dụng để thực hiện các cuộc tấn công DDoS quy mô lớn, củng cố vai trò của nó như một dịch vụ tấn công thương mại.
Các khả năng chính bao gồm:
- Khai thác các lỗ hổng bảo mật trên nhiều kiến trúc phần cứng IoT khác nhau.
- Tích hợp 12 vectơ tấn công khác nhau để truy cập ban đầu.
- Triển khai các mô-đun chuyên dụng cho các hoạt động tấn công DDoS quy mô lớn.
Quy trình lây nhiễm và cơ chế duy trì sự tồn tại
Sau khi thiết bị bị xâm nhập, phần mềm độc hại sẽ khởi động một chuỗi thực thi có cấu trúc được thiết kế để duy trì quyền kiểm soát và ngăn chặn sự can thiệp. Nó thiết lập một socket được liên kết với một cổng TCP được mã hóa cứng (55988), cho phép liên lạc trực tiếp với kẻ tấn công. Nếu bước này thất bại, quá trình lây nhiễm sẽ kết thúc ngay lập tức.
Nếu thành công, phần mềm độc hại sẽ tiếp tục sử dụng các kỹ thuật duy trì hoạt động, ngăn chặn các tín hiệu chấm dứt và vô hiệu hóa các tiện ích thông thường như wget và curl, có thể để loại bỏ các phần mềm độc hại cạnh tranh. Sau đó, nó kết nối với máy chủ điều khiển bên ngoài để nhận chỉ thị và phát động các cuộc tấn công vào các mục tiêu được chỉ định.
Tự lan truyền và nhắm mục tiêu chiến lược
Masjesu được trang bị chức năng tự lan truyền, cho phép nó quét ngẫu nhiên các địa chỉ IP để tìm kiếm các hệ thống dễ bị tổn thương. Sau khi được xác định, các thiết bị này sẽ được tích hợp vào cơ sở hạ tầng của mạng botnet, mở rộng khả năng hoạt động của nó.
Một chiến thuật đáng chú ý là quét cổng 52869, liên kết với dịch vụ miniigd của Realtek SDK, một phương pháp trước đây đã được các mạng botnet khác như JenX và Satori sử dụng.
Phân bố địa lý của lưu lượng tấn công cho thấy sự tập trung ở:
- Việt Nam (chiếm khoảng 50% hoạt động được quan sát)
- Ukraina, Iran, Brazil, Kenya và Ấn Độ
Mặc dù mở rộng mạnh mẽ, mạng botnet này tránh nhắm mục tiêu vào các tổ chức quan trọng hoặc nhạy cảm. Sự kiềm chế có chủ ý này giúp giảm thiểu rủi ro pháp lý và tăng khả năng tồn tại lâu dài.
Chiến lược thương mại hóa và tăng trưởng
Masjesu tiếp tục phát triển thành một dịch vụ tội phạm mạng có cấu trúc. Những người điều hành dịch vụ này tích cực quảng bá các khả năng của nó thông qua Telegram, định vị nó như một giải pháp có thể mở rộng để nhắm mục tiêu vào các mạng phân phối nội dung, cơ sở hạ tầng trò chơi và hệ thống doanh nghiệp.
Việc dựa vào các nền tảng mạng xã hội để tuyển dụng và quảng cáo đã chứng tỏ hiệu quả, cho phép tăng trưởng ổn định và thu hút được lượng khách hàng quan tâm đến việc thực hiện các cuộc tấn công DDoS mà không cần chuyên môn kỹ thuật.
Một mối đe dọa mạng ngày càng gia tăng và dai dẳng
Là một họ botnet mới nổi, Masjesu thể hiện đà phát triển mạnh mẽ cả về độ tinh vi kỹ thuật và khả năng mở rộng hoạt động. Sự kết hợp giữa khả năng ẩn mình, khai thác mục tiêu và tính dễ tiếp cận thương mại khiến nó trở thành một mối đe dọa đáng kể trong bối cảnh an ninh mạng hiện đại.
Bằng cách ưu tiên tính bền vững hơn tính hiển thị và tận dụng các kỹ thuật tấn công ngày càng tinh vi, mạng botnet này tiếp tục xâm nhập và kiểm soát môi trường IoT trên toàn cầu đồng thời giảm thiểu rủi ro gián đoạn.
