ハッカーはMasjesuボットネットを悪用して、ルーター、ゲートウェイ、その他露出したIoTインフラストラクチャに対する大規模なDDoS-for-hire攻撃を実行し、日常的なネットワークハードウェアを商用攻撃の火力に変えています。
2023年初頭から静かに運用され、2026年現在でも活動しているMasjesu(XorBotとしても知られている)は、成熟したステルス重視型ボットネットがDDoS市場をどのように再形成しているかを示しています。
Masjesuは商用として運用されているIoTボットネットで、DDoS-for-hireサービスとして広告され、演算子は主にTelegramを使用して支払い客を引き付けています。
その演算子は爆発的な成長よりも長期的な生存を優先し、米国国防総省ネットワークやその他の機密配分など、急速な法執行機関の注目を引き起こす可能性のあるブロックリストに登録されたIP範囲を意図的に回避しています。
Trellix ARCは最近このボットネットの最新サンプルを分析し、i386、MIPS、ARM、SPARC、PPC、68K(モトローラ68000)、AMD64を含む複数のアーキテクチャに対応しています。
Masjesuは設定データ、文字列、ペイロードを隠すためにXORベースのマルチステージ暗号化に依存しており、静的検出とシグネチャベースのスキャンの効果を大幅に低下させています。
マルウェアはランダムなIPアドレスをスキャンし、D-Link、GPON、Huawei、Netgear、TP-Linkなどのベンダーのルーターとゲートウェイの既知の脆弱性を悪用して、静かに足跡を広げています。
ボットネットの演算子はTelegramでMasjesuを宣伝しており、ポリシーの削除後も何度も存在感を再構築しています。
2025年10月10日、彼らは生成したACKフラッドDDoS攻撃のメトリクスを示す数枚のスクリーンショットを投稿しました。これは約290Gbps(ギガビット/秒)です。
2,000人以上の購読者がいた以前のチャネルが削除され、2025年2月に開設された新しい二言語チャネル「Masjesu Botnet / 僵尸网络」が、見込み客向けのレンタル詳細、機能更新、パフォーマンススクリーンショットをホストしています。
2025~2026年の最近の投稿は、290~300Gbpsに近い宣伝されたおよび観測された攻撃能力を示しており、Masjesuを地下市場で利用可能なより危険なDDoSプラットフォームの中に位置付けています。
演算子から共有されたメトリクスは、地理的に多様なボットネットから発信されるトラフィックを強調し、ベトナム、ウクライナ、イラン、ブラジル、ケニア、インドなどの国で危険にさらされたデバイスがあり、ベトナム単独で観測されたトラフィックの約半分を占めています。
ソースASNの広がりは、MasjesuがVPSホストの小規模なクラスタではなく、多くの乗っ取られたネットワークから構築されていることを示唆し、復元力を向上させ、テイクダウンを複雑にしています。
感染したデバイスでは、Masjesuはオペレータの直接アクセス用にハードコードされたTCPリスナー(ポート55988)を設定し、終了関連の信号を無視することで自身を強化します。
C2ドメイン、IP、パスなどの機密文字列は暗号化されたルックアップテーブルに保存され、マルチXORルーチンを使用して実行時にのみ復号化されます。これにより、逆エンジニアリングと静的IOC抽出が阻害されます。
永続化のために、Masjesuはそのバイナリを正当なシステムコンポーネントに偽装するように名前変更し(例:「usr/lib/ld-unix.so.2」)、15分ごとに自身を再起動するcronジョブを作成し、デーモン化され、最後にプロセス名を「/usr/lib/systemd/systemd-journald」に偽装します。
また、wget、curl、sshd、および他のボットネットのような名前のバイナリなどの競合するツールを強制終了し、ライバルマルウェアが足がかりを得るのを防ぐために/tmpディレクトリをロックします。
C2インフラストラクチャとDDoS方法
Masjesuの司令統制層は、単一のドメインと予備IPから複数のドメインとバックアップアドレスへと進化し、個別のドメインが中断された場合の復元力を向上させています。
マルウェアはこのドメインリストをサイクルして、ハードコードされたIPにフォールバックし、最後にスキャンとエクスプロイテーションをオーケストレートするための「/.shell」スクリプトを取得します。
接続後、ボットはMethodInit形式のルーチンを使用して暗号化されたC2コマンドを解析し、特定のDDoSモジュールにマップします。
サポートされている攻撃には、TCPフラッド、Valve Source Engineクエリフラッド、GREおよびOSPFプロトコルフラッド、ICMPおよびIGMPフラッド、TCP SYN/ACK/ACKPSHバリアント、ブラウザのようなトラフィックをシミュレートしようとするHTTPフラッドが含まれます。
ランダムなヘッダー、偽装されたIP、および可変ペイロードにより、Masjesuトラフィックは正当なフローと区別しにくくなり、静的ルールでのフィルタリングが困難になります。
パブリックインターネット上のルーター、ゲートウェイ、またはDVRを使用している組織は、Masjesuエクスプロイトに既にリンクされているベンダーのモデルに特に注意を払いながら、ファームウェアをすぐにパッチおよび更新する必要があります。
デフォルトパスワードは強力で一意の認証情報に置き換える必要があり、IoTデバイスは可能な限り重要なネットワークから分離する必要があります。
異常なHTTP接続、Masjesu固有のユーザーエージェント、既知のC2ドメインまたはフォールバックIPへの繰り返しの接続をアウトバウンドトラフィックで監視することは、感染したノードを早期に検出するのに役立ちます。
セキュリティチームはまた、疑わしいcronジョブ、システムコンポーネントに偽装されたバイナリ、システムディレクトリ内の予期しないプロセス名の変更を監視し、実行時にDDoSマルウェアを特定できる動作ベースのエンドポイントおよびネットワーク検出ツールを導入する必要があります。これはシグネチャのみに依存するのではなく。
IOC
| SHA256ハッシュ | アーキテクチャ構築 |
| f39b67fff1f106fb1b4fa9beb386427c8e7eb010f306ad0445da70bffc855f2e | MIPS |
| dfd830368724f6abcc542bc8b85e3d5fa2aedf8282d3805d0d6d53f45c7e0937 | ARM |
| de5fb68023465cb5d8ace412e11032d98a41bd6af2a83245c046020530130496 | AMD64 |
| d8018e31b77b135ed300a988757f409347d013b76f9c9a4972e48cb715f45967 | MIPS |
| cb4a3665ebd12bdb094b9fc188793c67ec3008363a49b1dde00d488b54df984b | 386 |
| b53d4781bbadb17014da280e274e11f2de9063a35f2eabd32d4596707b147306 | PowerPC |
| 4190491b9006404cab256d66125bd77b1c3a0e63451fbb3d829617d7e87acc9b | PowerPC |
| 85758df12964024af3ae829e3630f9ad5de7c55dae00181198033da8816e3293 | M68K |
| 8340ff8920412a70f0c29cdf72f6f218e61142b3f210e70e24811c413971a8ed | 386 |
| 620f6949b82f9ef987b7511fbbb09c2da57d8be47b019fa6a9686ce08b4c3e70 | ARM |
| 87f11a3ee2486bc4845a28465c2e70d2d9f98725edf4a73c3359c23a43ed74b7 | ARM |
| 9c683b0be86d4cd274a7a16073bdf092218f259b055a72f848d589574e9b8084 | ARM |
| 8ce9145fee0d3d2444554d901b334c36e71bb1346280ada7ff366cf9d25c5938 | SPARC |
翻訳元: https://gbhackers.com/masjesu-botnet/
