Masjesu ботнет нуди DDoS напади како услуга и ги напаѓа IoT уредите глобално

Истражувачите за сајбер-безбедност открија скриен ботнет дизајниран за изведување на напади од типот distributed denial-of-service (DDoS).

Наречен Masjesu, ботнетот се рекламира преку Telegram како услуга „DDoS-for-hire“ уште од неговото појавување во 2023 година. Тој е способен да таргетира широк спектар на IoT уреди, како што се рутери и gateway уреди, поддржувајќи повеќе архитектури.

„Создаден за постојаност и ниска видливост, Masjesu преферира внимателно и дискретно извршување наместо масовна инфекција, намерно избегнувајќи IP-опсези кои се на блок-листи, како оние на Министерството за одбрана (DoD), со цел да обезбеди долгорочно опстанување,“ изјави истражувачот од Trellix, Мохидин Абдул Кадер Ф, во извештај објавен во вторник.

Вреди да се напомене дека оваа комерцијална понуда е позната и под името XorBot, поради користењето на XOR-базирана енкрипција за прикривање на стрингови, конфигурации и податоци за payload. Првпат беше документиран од кинеската безбедносна компанија NSFOCUS во декември 2023 година, која го поврза со оператор под псевдонимот „synmaestro“.

Подоцнежна верзија на ботнетот, забележана една година подоцна, додала 12 различни експлоити за injection на команди и извршување код, со цел да таргетира рутери, камери, DVR и NVR уреди од брендови како D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link и Vacron, и да добие почетен пристап. Дополнително, биле вклучени нови модули за изведување DDoS flood напади.

„Како нова фамилија на ботнети, XorBot покажува силен растечки тренд, континуирано инфилтрирајќи и контролирајќи нови IoT уреди,“ изјави NSFOCUS во ноември 2024 година. „Забележително е дека операторите сè повеќе се потпираат на социјални платформи како Telegram како главни канали за регрутација и промоција, привлекувајќи потенцијални ‘клиенти’ преку активни промотивни активности, што создава цврста основа за понатамошно ширење и развој на ботнетот.“

Најновите наоди од Trellix покажуваат дека Masjesu активно ја рекламира способноста за изведување волуметриски DDoS напади, истакнувајќи ја својата разновидна ботнет инфраструктура и погодноста за таргетирање на content delivery networks (CDN), гејминг сервери и компании. Нападите што ги изведува ботнетот најчесто потекнуваат од Виетнам, Украина, Иран, Бразил, Кенија и Индија, при што Виетнам учествува со речиси 50% од забележаниот сообраќај.

Откако ќе се инсталира на компромитиран уред, малициозниот софтвер започнува со креирање и врзување (bind) на socket со хард-кодиран TCP порт (55988), што му овозможува на напаѓачот директно да се поврзе. Доколку оваа операција не успее, целиот нападен синџир веднаш се прекинува.

Во спротивно, малициозниот софтвер продолжува со воспоставување постојаност (persistence), игнорира сигнали за прекин, запира често користени процеси како wget и curl (веројатно за да ги оттурне конкурентските ботнети), а потоа се поврзува со надворешен сервер за да прима команди за DDoS напади и да ги извршува врз избрани цели.

Masjesu исто така поседува способности за самостојно ширење, што му овозможува да скенира случајни IP адреси за отворени портови и да ги вклучи успешно компромитираните уреди во својата инфраструктура. Еден значаен додаток во листата на цели за експлоатација се Realtek рутерите, што се изведува преку скенирање на портот 52869 – поврзан со miniigd daemon од Realtek SDK. Повеќе DDoS ботнети, како JenX и Satori, и претходно ја користеле оваа техника.

„Ботнетот продолжува да се шири преку инфицирање на широк спектар IoT уреди од различни архитектури и производители,“ соопшти Trellix. „Забележливо е дека Masjesu избегнува таргетирање на чувствителни критични организации кои би можеле да предизвикаат сериозно правно или институционално внимание, стратегија што најверојатно му помага да опстане на подолг рок.“

Извори:

• The Hacker News – Masjesu Botnet Emerges as DDoS-for-Hire Service Targeting Global IoT Devices The Hacker News