Botnet Masjesu

Par Mezo en Botnets

Se traduisent par :

Des analystes en cybersécurité ont découvert un botnet très discret, conçu spécifiquement pour les attaques par déni de service distribué (DDoS). Connu sous le nom de Masjesu, ce réseau opère depuis 2023 en tant que service de location d'attaques DDoS, principalement promu via des chaînes Telegram.

Plutôt que de viser des infections massives, le botnet adopte une approche mesurée et réfléchie. Sa conception privilégie la persistance et la furtivité, en évitant délibérément les cibles de premier plan telles que les réseaux associés au Département de la Défense. Cette stratégie réduit considérablement les risques de détection et de démantèlement, permettant ainsi à l'opération de perdurer.

Table des matières

Double identité et opérations chiffrées

Masjesu est également connu sous le nom de XorBot, un nom qui provient de son utilisation de techniques de chiffrement basées sur l'opérateur XOR. Ces méthodes sont appliquées aux chaînes de caractères, aux données de configuration et aux charges utiles, ce qui complique les efforts d'analyse et de détection.

Le botnet a été documenté pour la première fois en décembre 2023 et lié à un opérateur connu sous le nom de « synmaestro ». Dès son apparition, il a clairement démontré sa volonté de maintenir une faible visibilité tout en permettant un contrôle à distance efficace des systèmes compromis.

Développement de l’arsenal et des capacités d’exploitation

Une version plus récente du botnet, observée environ un an plus tard, présentait des améliorations significatives. Elle intégrait de multiples failles d'injection de commandes et d'exécution de code à distance, ciblant une large gamme d'objets connectés, notamment des routeurs, des caméras, des enregistreurs vidéo numériques (DVR) et des enregistreurs vidéo réseau (NVR) de plusieurs grands fabricants.

Ces mises à jour incluaient également des modules dédiés à l'exécution d'attaques DDoS par inondation à grande échelle, renforçant ainsi son rôle de service d'attaque commercial.

Les principales capacités comprennent :

Exploitation des vulnérabilités dans diverses architectures matérielles IoT
Intégration de 12 vecteurs d'attaque distincts pour l'accès initial
Déploiement de modules spécialisés pour les opérations DDoS volumétriques

Flux de travail et mécanismes de persistance des infections

Une fois l'appareil compromis, le logiciel malveillant lance une chaîne d'exécution structurée visant à maintenir le contrôle et à empêcher toute interférence. Il établit une connexion socket liée à un port TCP fixe (55988), permettant une communication directe avec l'attaquant. Si cette étape échoue, le processus d'infection s'interrompt immédiatement.

En cas de succès, le logiciel malveillant met en œuvre des techniques de persistance, en supprimant les signaux de terminaison et en désactivant les utilitaires courants tels que wget et curl, probablement pour éliminer les logiciels malveillants concurrents. Il se connecte ensuite à un serveur de commande et de contrôle externe pour recevoir des instructions et lancer des attaques contre les cibles désignées.

Autopropagation et ciblage stratégique

Masjesu est doté d'une fonction d'auto-propagation lui permettant d'analyser des adresses IP aléatoires à la recherche de systèmes vulnérables. Une fois identifiés, ces appareils sont intégrés à l'infrastructure du botnet, augmentant ainsi sa capacité opérationnelle.

Une tactique notable consiste à rechercher le port 52869, associé au service miniigd du SDK Realtek, une méthode déjà utilisée par d'autres botnets tels que JenX et Satori.

La répartition géographique du trafic d'attaque montre une concentration dans :

Vietnam (environ 50 % de l'activité observée)
L'Ukraine, l'Iran, le Brésil, le Kenya et l'Inde

Malgré son expansion fulgurante, le réseau de zombies évite de cibler les organisations critiques ou sensibles. Cette retenue délibérée réduit les risques juridiques et renforce sa capacité de survie à long terme.

Stratégie de commercialisation et de croissance

Masjesu continue d'évoluer en tant que service structuré de lutte contre la cybercriminalité. Ses opérateurs font activement la promotion de ses capacités via Telegram, le positionnant comme une solution évolutive pour cibler les réseaux de diffusion de contenu, les infrastructures de jeux et les systèmes d'entreprise.

Cette utilisation des plateformes de médias sociaux pour le recrutement et la publicité s'est avérée efficace, permettant une croissance régulière et attirant une clientèle intéressée par le lancement d'attaques DDoS sans expertise technique.

Une cybermenace croissante et persistante

Masjesu, une famille de botnets émergente, témoigne d'une forte progression tant sur le plan technique que sur celui de l'expansion opérationnelle. Son approche furtive, son exploitation ciblée et son accessibilité commerciale en font une menace notable dans le paysage actuel de la cybersécurité.

En privilégiant la persistance à la visibilité et en tirant parti de l'évolution des techniques d'attaque, le botnet continue d'infiltrer et de contrôler les environnements IoT à travers le monde tout en minimisant le risque de perturbation.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Botnet Masjesu

Double identité et opérations chiffrées

Développement de l’arsenal et des capacités d’exploitation

Flux de travail et mécanismes de persistance des infections

Autopropagation et ciblage stratégique

Stratégie de commercialisation et de croissance

Une cybermenace croissante et persistante

Soumettre un Commentaire

Tendance

Forestrievic.com

Arnaque au programme de distribution SatoshiVM

Blemandepia.com

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran

Eporner.com