Masjesu Botnet

殭屍網路年Mezo年

翻譯為：

網路安全分析師發現了一個高度隱蔽的殭屍網絡，該網絡專門用於發動分散式阻斷服務攻擊。這個名為 Masjesu 的殭屍網路自 2023 年以來一直以 DDoS 攻擊服務的形式存在，主要透過 Telegram 頻道進行推廣。

該殭屍網路並未追求大規模感染，而是採取了一種謹慎而周密的策略。其設計強調持久性和隱蔽性，刻意避開國防部等高調目標。這種策略顯著降低了被發現和清除的可能性，使其能夠長期持續運作。

Masjesu 也被稱為 XorBot，這個名稱源自於它使用了基於異或 (XOR) 的加密技術。這些方法用於隱藏字串、配置資料和有效載荷，從而增加分析和檢測的難度。

該殭屍網路最早於 2023 年 12 月被發現，並與名為「synmaestro」的經營者有關。從其出現之初，它就表現出明顯的重點：在保持低調的同時，能夠有效地遠端控制受感染的系統。

大約一年後，人們發現了該殭屍網路的新版本，該版本進行了重大改進。它整合了多種命令注入和遠端程式碼執行漏洞，目標包括來自多家主要製造商的路由器、攝影機、DVR 和 NVR 等各種物聯網設備。

這些更新還包括用於執行大容量 DDoS 洪水攻擊的專用模組，進一步鞏固了其作為商業攻擊服務的角色。

主要功能包括：

一旦設備被攻破，惡意軟體就會啟動一個結構化的執行鏈，旨在維持控制並防止幹擾。它會建立一個綁定到硬編碼 TCP 連接埠（55988）的套接字，從而允許與攻擊者直接通訊。如果此步驟失敗，感染過程將立即終止。

如果成功，該惡意軟體會繼續使用持久化技術，抑制終止訊號並停用常用工具（例如 wget 和 curl），這很可能是為了清除其他惡意軟體。然後，它會連接到外部命令與控制伺服器，接收指令並對指定目標發動攻擊。

Masjesu具備自我傳播功能，能夠掃描隨機IP位址以尋找易受攻擊的系統。一旦發現目標，這些設備就會被整合到殭屍網路的架構中，從而擴展其運作能力。

一個值得注意的策略是掃描與 Realtek SDK 的 miniigd 服務相關的 52869 端口，這種方法以前曾被 JenX 和 Satori 等其他殭屍網路利用過。

攻擊流量的地理分佈顯示其集中在以下區域：

儘管該殭屍網路擴張迅速，但它始終避免攻擊關鍵或敏感組織。這種刻意的克制降低了其法律風險，並增強了其長期生存能力。

Masjesu作為一個結構化的網路犯罪服務平台，仍在不斷發展壯大。其業者積極透過Telegram推廣其各項功能，將其定位為可擴展的解決方案，用於攻擊內容傳遞網路、遊戲基礎設施和企業系統。

事實證明，依靠社群媒體平台進行招募和廣告宣傳是有效的，它實現了穩步增長，並吸引了一群對發起 DDoS 攻擊感興趣但沒有技術專長的客戶群。

作為一個新興的殭屍網路家族，Masjesu 在技術複雜性和營運擴張方面都展現出強勁的發展勢頭。它兼具隱蔽性、針對性攻擊和商業可及性，使其成為現代網路安全領域中一個不容忽視的威脅。

透過優先考慮持久性而非可見性，並利用不斷演變的攻擊技術，殭屍網路持續滲透和控制全球物聯網環境，同時最大限度地降低中斷風險。

搜索