Masjesuボットネットは、高度なモノのインターネット(IoT)脅威として登場し、主に商用サービスとして利用可能な分散型サービス妨害(DDoS)のレンタル型サービスとして機能しています。
2023年初頭から活動し、2026年を通じて継続的に進化するこのマルウェアは標的としており、ARM、MIPS、SPARC、AMD64などの複数のアーキテクチャ上のルーター、ゲートウェイ、組み込みハードウェアを含む、幅広い接続デバイスが対象です。
大規模で目立つ感染を試みるのではなく、Masjesuの運営者はステルス性と長期的な継続性を優先します。
彼らは米国国防総省やさまざまなレガシー軍事割り当てなどのハイプロファイルブロックリスト化されたネットワークを慎重に回避し、ボットネットが法的精査を引き起こさずに長期的な運用で生き残ることを保証します。
低い認識度を維持するため、Masjesuはいくつかの高度な回避技術を採用しています。マルウェアはXORベース暗号化に依存して重要な文字列、コマンドアンドコントロール(C2)ドメイン、およびペイロードデータを隠します。
これらの文字列は複数段階のXOR操作を介して実行時に復号化され、従来の静的セキュリティ検出の有効性を大幅に低減します。
デバイスに感染すると、Masjesuは硬化されたTCPポートへのバインディングと終了シグナルの無視によって、マルウェアをユーザーまたはシステムのシャットダウンから保護します。
永続性のため、ボットネットは実行可能ファイルパスの名前を変更して正当なシステムコンポーネントを模倣します、例えば32ビットLinuxダイナミックリンカーなど。15分ごとにこの偽装プロセスを実行するcronジョブを設定します。
伝播のため、MasjesuはランダムなIPアドレスをスキャンしてオープンポートを見つけます。脆弱なポートが特定されると、ボットネットはD-Linkなどのメーカーのデバイスを標的とした特定のエクスプロイトをデプロイします、Netgear、Huawei、GPON。
エクスプロイトが成功すると、デバイスを群れに採用するために悪意あるシェルスクリプトをダウンロードします。C2サーバーに接続されると、ボットネットは一意の「masjesu」ユーザーエージェントを使用してさまざまなDDoS攻撃を実行するための指示を受け取ります。
Masjesuは難読化と標準アンチウイルス検出の回避に大きな焦点を当てているため、組織はプロアクティブな動作ベースの防御戦略を採用する必要があります。
ネットワーク管理者は、異常なHTTPリクエストや既知の悪意あるドメインへの接続について、継続的にアウトバウンドトラフィックを監視する必要があります。
プロセスとファイルの整合性監視を実装すると、予期しないcronジョブやなりすましシステムファイルを検出するのに役立ちます。
さらに、ルーターとゲートウェイに対する最新のファームウェアとソフトウェア更新を適用すると、Masjesuが悪用する既知の脆弱性に対応できます。
厳密なネットワーク監視と定期的なパッチ適用を組み合わせることで、組織はこの永続的で商業的に駆動される脅威によってインフラストラクチャが転用されるのを防ぐことができます。
翻訳元: https://cyberpress.org/masjesu-botnet-targets-routers/