Masjesu Botnet

ボットネット年Mezoまで

翻訳内容：

サイバーセキュリティアナリストらは、分散型サービス拒否攻撃（DDoS攻撃）専用に設計された、極めて巧妙なボットネットを発見した。Masjesuとして知られるこのボットネットは、2023年からDDoS攻撃代行サービスとして活動しており、主にTelegramチャンネルを通じて宣伝されていた。

このボットネットは、大規模な感染拡大を狙うのではなく、抑制的かつ計算されたアプローチを採用している。その設計は持続性と隠密性を重視しており、国防総省関連のネットワークなど、注目度の高い標的を意図的に避けている。この戦略により、検出や摘発の可能性が大幅に低減され、作戦の長期化が可能となる。

MasjesuはXorBotとも呼ばれ、その名称はXORベースの暗号化技術を使用していることに由来する。これらの手法は難読化された文字列、設定データ、ペイロードに適用され、分析や検出を困難にする。

このボットネットは2023年12月に初めて確認され、「synmaestro」という名のオペレーターと関連付けられました。出現当初から、目立たないようにしながら、侵害されたシステムを効率的に遠隔操作することに重点を置いていることが明確に示されていました。

約1年後に確認されたボットネットの最新バージョンでは、大幅な機能強化が図られていた。このバージョンは、複数のコマンドインジェクションとリモートコード実行の脆弱性を悪用し、ルーター、カメラ、DVR、NVRなど、主要メーカーの幅広いIoTデバイスを標的としていた。

これらのアップデートには、大量のDDoS攻撃を実行するための専用モジュールも含まれており、商用攻撃サービスとしての役割を強化している。

主な機能は以下のとおりです。

デバイスが侵害されると、マルウェアは制御を維持し、妨害を防ぐために設計された構造化された実行チェーンを開始します。ハードコードされたTCPポート（55988）にバインドされたソケットを確立し、攻撃者との直接通信を可能にします。このステップが失敗すると、感染プロセスは直ちに終了します。

攻撃が成功すると、マルウェアは永続化技術を用いて、終了シグナルを抑制し、wgetやcurlなどの一般的なユーティリティを無効化することで、競合するマルウェアを排除しようとします。その後、外部のコマンド＆コントロールサーバーに接続し、指示を受け取って指定された標的への攻撃を開始します。

Masjesuは自己増殖機能を備えており、ランダムなIPアドレスをスキャンして脆弱なシステムを探し出すことができます。発見されたデバイスはボットネットのインフラストラクチャに組み込まれ、運用能力が拡大されます。

注目すべき戦術の一つは、Realtek SDKのminiigdサービスに関連付けられているポート52869をスキャンすることであり、これは以前にもJenXやSatoriなどの他のボットネットによって利用された手法である。

攻撃トラフィックの地理的分布は、以下の地域に集中していることを示しています。

積極的な拡大にもかかわらず、このボットネットは重要組織や機密性の高い組織を標的にすることを避けている。この意図的な抑制は、法的リスクを軽減し、長期的な存続可能性を高める。

Masjesuは、組織化されたサイバー犯罪サービスとして進化を続けている。運営者はTelegramを通じて積極的にその機能を宣伝し、コンテンツ配信ネットワーク、ゲームインフラ、企業システムを標的とする拡張性の高いソリューションとして位置づけている。

採用や広告にソーシャルメディアプラットフォームを活用するこの手法は効果的であることが証明されており、着実な成長を可能にし、技術的な専門知識を持たずにDDoS攻撃を実行することに関心のある顧客層を引き付けている。

新興ボットネットファミリーであるMasjesuは、技術的な高度化と運用拡大の両面で目覚ましい勢いを見せている。そのステルス性、標的型攻撃、そして商業的なアクセス性を兼ね備えていることから、現代のサイバーセキュリティ環境において注目すべき脅威となっている。

可視性よりも持続性を優先し、進化する攻撃手法を活用することで、このボットネットは世界中のIoT環境への侵入と制御を継続しつつ、混乱のリスクを最小限に抑えている。

検索