TrelixはMasjesuの内部動作に深く切り込んでいます。これは分散型サービス拒否(DDoS)攻撃用に構築されたボットネットで、様々なIoTデバイスに感染しています。
Masjesuは少なくとも2023年から活動しており、その運営者は主にTelegramで、数百ギガバイト規模のDDoS攻撃を仕掛けることができると広告しています。
運営者の投稿は中国語と英語を話すユーザーの両方を対象としており、「彼らのサービスが中国と米国の顧客の両方を継続的に標的としていることを示唆している」とTrelixは述べています。
現在、運営者のTelegramチャンネルは400人以上の購読者を有していますが、ボットネットの利用者ベースはより大きいと思われます。というのも、ボットネットを宣伝する初期チャンネルはポリシー違反のためプラットフォームによって閉鎖されているからです。
攻撃元国の分析によると、Masjesuに引っかかったほとんどのデバイスはベトナムに位置しています。ただし、ボットネットはブラジル、インド、イラン、ケニア、ウクライナの多数のデバイスにも感染しています。
「このデータは複数のASNから発信された分散型攻撃を強く示唆しています。これは、ボットネットが単一の仮想プライベートサーバー(VPS)プロバイダーにのみホストされているのではなく、様々なネットワークの関与を示しています」とTrelixは指摘しています。
最近分析されたMasjesuサンプルは、i386、MIPS、ARM、SPARC、PPC、68K(Motorola 68000)、AMD64を含む複数のアーキテクチャをターゲットできることを示しています。
ボットネットはD-Linkルーター、GPONルーター、Huaweiホームゲートウェイ、MVPower DVR、Netgearルーター、UPnPサービス、その他のIoTデバイスの脆弱性を通じて拡散します。
感染したデバイスでは、マルウェアはハードコードされたTCPポートでソケットをバインドして、オペレーターにリモートアクセスを提供し、永続性のために自身を強化します。
マルウェアは、コマンド・アンド・コントロール(C&C)ドメイン、ポート、フォルダ名、プロセス名を含む機密文字列を、ルックアップテーブルで暗号化して保存し、実行時にそれらを復号化します。
永続性を実現するため、Masjesuは新しいプロセスをフォークし、元の実行可能ファイルパスを正当なLinuxダイナミックリンカーのパスと機能を模倣するように名前変更することから始めます。
その後、名前変更された実行可能ファイルを15分ごとに実行するcronジョブを作成し、プロセスをバックグラウンドデーモンに変換し、正当なシステムコンポーネントのように見えるように名前を変更します。
マルウェアはまた、wgetやcurlなどの一般的に使用されるプロセスを終了し、共有一時フォルダをロックダウンします。おそらく他のボットネットからの感染を防ぐためです。拡散するために、感染できる脆弱なデバイスを見つけるためにインターネット上のランダムIPアドレスをスキャンします。
Masjesuは複数のC&C ドメインとフォールバックIPを使用し、C&Cへのソケット接続で60秒の受信タイムアウトを設定し、受信したデータをクライアント側で復号化します。
サーバーから受け取ったデータに基づいて、ボットネットはUDP、TCP、VSE、GRE、RDP、OSPF、ICMP、IGMP、TCP_SYN、TCP-ACK、TCP-ACKPSH、HTTPフラッドを含む様々な種類のDDoS攻撃を仕掛けることができます。
翻訳元: https://www.securityweek.com/evasive-masjesu-ddos-botnet-targets-iot-devices/
