Исследователи кибербезопасности обнаружили новый ботнет Masjesu, предназначенный для проведения распределённых атак отказа в обслуживании (DDoS). Он распространяется как коммерческий сервис по подписке и активно используется с 2023 года.
Masjesu ориентирован на заражение IoT-устройств, включая маршрутизаторы и сетевые шлюзы с различными архитектурами. Ботнет изначально разрабатывался с упором на скрытность и устойчивость, что позволяет ему избегать обнаружения и продолжительное время оставаться активным.
Продвижение через Telegram и альтернативное название
Сервис распространяется через Telegram, где его рекламируют как DDoS-for-hire. В некоторых отчётах он также упоминается под названием XorBot из-за использования XOR-шифрования для скрытия строк, конфигураций и полезной нагрузки.
Впервые ботнет был задокументирован в конце 2023 года, а его оператор связывается с ником synmaestro.
Эксплуатация уязвимостей и рост функциональности
Поздние версии Masjesu получили расширенный набор эксплойтов. Было добавлено не менее 12 уязвимостей для внедрения команд и выполнения кода, что позволяет заражать устройства разных производителей, включая D-Link, Huawei, NETGEAR, TP-Link и другие.
Помимо этого, появились дополнительные модули для проведения различных типов DDoS-флуд-атак. Ботнет активно расширяет инфраструктуру и продолжает заражать новые устройства.
География атак и цели
Masjesu продвигается как инструмент для проведения мощных volumetric DDoS-атак. Он используется для атак на CDN, игровые серверы и корпоративные системы.
Основной трафик атак фиксируется из нескольких стран, включая Вьетнам, Украину, Иран, Бразилию, Кению и Индию. При этом около половины всей активности приходится на Вьетнам.
Механика работы вредоносного ПО
После заражения устройство открывает TCP-сокет на фиксированном порту 55988, через который злоумышленник может напрямую подключаться к системе. Если соединение не удаётся установить, цепочка атаки прекращается.
Далее вредоносное ПО закрепляется в системе, игнорирует сигналы завершения процессов и останавливает утилиты вроде wget и curl, вероятно, чтобы устранить конкурирующие ботнеты. После этого устройство подключается к управляющему серверу и получает команды для выполнения DDoS-атак.
Стратегия скрытности
Masjesu избегает атак на чувствительные организации, такие как государственные структуры, чтобы не привлекать внимание правоохранительных органов. Такой подход повышает срок жизни ботнета и снижает риск его быстрого отключения.
Ботнет продолжает расширяться за счёт заражения широкого спектра IoT-устройств и остаётся малозаметным благодаря осторожной тактике распространения.
Источник: HN