Masjesu Botnet

通过Mezo在僵尸网络

翻译为：

网络安全分析师发现了一个高度隐蔽的僵尸网络，该网络专门用于发起分布式拒绝服务攻击。这个名为 Masjesu 的僵尸网络自 2023 年以来一直以 DDoS 攻击服务的形式存在，主要通过 Telegram 频道进行推广。

该僵尸网络并未追求大规模感染，而是采取了一种谨慎而周密的策略。其设计强调持久性和隐蔽性，刻意避开国防部等高调目标。这种策略显著降低了被发现和清除的可能性，使其能够长期持续运作。

Masjesu 也被称为 XorBot，这个名称源于它使用了基于异或 (XOR) 的加密技术。这些方法用于隐藏字符串、配置数据和有效载荷，从而增加分析和检测的难度。

该僵尸网络最早于 2023 年 12 月被发现，并与名为“synmaestro”的运营者有关。从其出现之初，它就表现出明显的重点：在保持低调的同时，能够有效地远程控制受感染的系统。

大约一年后，人们发现了该僵尸网络的新版本，该版本进行了重大改进。它整合了多种命令注入和远程代码执行漏洞，目标包括来自多家主要制造商的路由器、摄像头、DVR 和 NVR 等各种物联网设备。

这些更新还包括用于执行大容量 DDoS 洪水攻击的专用模块，进一步巩固了其作为商业攻击服务的角色。

主要功能包括：

一旦设备被攻破，恶意软件就会启动一个结构化的执行链，旨在维持控制并防止干扰。它会建立一个绑定到硬编码 TCP 端口（55988）的套接字，从而允许与攻击者直接通信。如果此步骤失败，感染过程将立即终止。

如果成功，该恶意软件会继续使用持久化技术，抑制终止信号并禁用常用工具（例如 wget 和 curl），这很可能是为了清除其他恶意软件。然后，它会连接到外部命令与控制服务器以接收指令，并对指定目标发起攻击。

Masjesu具备自我传播功能，能够扫描随机IP地址以寻找易受攻击的系统。一旦发现目标，这些设备就会被整合到僵尸网络的架构中，从而扩展其运行能力。

一个值得注意的策略是扫描与 Realtek SDK 的 miniigd 服务相关的 52869 端口，这种方法以前曾被 JenX 和 Satori 等其他僵尸网络利用过。

攻击流量的地理分布显示其集中在以下区域：

尽管该僵尸网络扩张迅速，但它始终避免攻击关键或敏感组织。这种刻意的克制降低了其法律风险，并增强了其长期生存能力。

Masjesu作为一个结构化的网络犯罪服务平台，仍在不断发展壮大。其运营者积极通过Telegram推广其各项功能，将其定位为一种可扩展的解决方案，用于攻击内容分发网络、游戏基础设施和企业系统。

事实证明，依靠社交媒体平台进行招聘和广告宣传是有效的，它实现了稳步增长，并吸引了一批对发起 DDoS 攻击感兴趣但没有技术专长的客户群体。

作为新兴的僵尸网络家族，Masjesu 在技术复杂性和运营扩张方面都展现出强劲的发展势头。它兼具隐蔽性、针对性攻击和商业可及性，使其成为现代网络安全领域中一个不容忽视的威胁。

通过优先考虑持久性而非可见性，并利用不断演变的攻击技术，僵尸网络持续渗透和控制全球物联网环境，同时最大限度地降低中断风险。

搜索