Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La botnet Masjesu, conosciuta anche come XorBot, è utilizzata per attacchi DDoS sfruttando vulnerabilità in dispositivi IoT come router e DVR. Attiva dal 2023, adotta tecniche stealth per evitare rilevamento e attacchi a infrastrutture critiche. Supporta molte architetture e integra exploit per esecuzione di codice remoto. La sua diffusione globale e il modello DDoS-as-a-Service la rendono una minaccia concreta per aziende e reti.
I ricercatori di Trellix hanno studiato la botnet Masjesu, utilizzata per attacchi DDoS e infettante dispositivi IoT di diverse architetture e produttori. Il malware è attivo almeno dal 2023 e il suo gestore pubblicizza i propri servizi su Telegram come DDoS-for-hire (DDoS-as-a-Service).
Masjesu è anche conosciuto come XorBot per via dell’utilizzo della crittografia XOR per nascondere stringhe, configurazioni e payload. Questa botnet è stata documentata per la prima volta dai ricercatori cinesi del NSFOCUS nel dicembre 2023, che l’hanno collegata a un operatore soprannominato “synmaestro”.
È stato scoperto che all’arsenale della botnet sono stati aggiunti 12 exploit per l’iniezione di comandi e l’esecuzione di codice. Utilizzando questi, il malware attacca router, telecamere, DVR e NVR prodotti da D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link e Vacron.
“Masjesu privilegia la furtività e la sopravvivenza rispetto all’infezione di massa. La botnet aggira deliberatamente gli intervalli di indirizzi IP inseriti nella blacklist, compresi quelli del Dipartimento della Difesa degli Stati Uniti”, spiegano gli esperti di Trellix. “Questa strategia aumenta le sue possibilità di rimanere inosservata.”
Secondo quanto riferito, l’operatore della botnet gestisce un canale Telegram sia in inglese che in cinese, rivolgendosi a entrambi i pubblici. Il canale conta attualmente oltre 400 iscritti, ma la sua base di utenti effettiva sembra essere più ampia: il precedente canale della botnet è stato chiuso da Telegram per violazione delle sue regole.
Masjesu viene pubblicizzato come uno strumento per condurre attacchi DDoS su larga scala con una potenza di centinaia di gigabit, indirizzabili verso CDN, server di gioco e risorse aziendali. La maggior parte del traffico di attacco proviene dal Vietnam (quasi il 50%), oltre che da Ucraina, Iran, Brasile, Kenya e India.
I recenti campioni di malware supportano le architetture i386, MIPS, ARM, SPARC, PPC, 68K e AMD64. Come già accennato, il malware si diffonde sfruttando le vulnerabilità presenti nei router di D-Link, GPON, Huawei, Netgear, nei DVR MVPower, nei servizi UPnP e in altri dispositivi IoT. Inoltre, i router Realtek sono recentemente comparsi nell’elenco dei bersagli: la botnet analizza la porta 52869, associata al demone miniigd dell’SDK di Realtek. Un trucco simile è stato precedentemente utilizzato dalle botnet DDoS JenX e Satori.
Una volta penetrato nel dispositivo, il malware apre un socket sulla porta TCP predefinita 55988, consentendo all’operatore di connettersi direttamente. Se la connessione fallisce, la catena di infezione viene interrotta.
Se tutto va bene, il malware si infiltra nel sistema. Innanzitutto, crea un processo figlio e rinomina il file eseguibile originale per spacciarsi per un linker dinamico Linux legittimo. Successivamente, aggiunge un’attività pianificata (cron job) per eseguire il binario ogni 15 minuti.
Dopodiché, il processo viene spostato in background e gli viene assegnato un nome simile a quello di un componente di sistema. Il malware memorizza i domini dei server di comando e controllo, le porte, i nomi delle cartelle e i nomi dei processi in forma crittografata in una tabella speciale e li decrittografa solo quando vengono consultati.
Inoltre, Masjesu termina i processi wget e curl e blocca le cartelle temporanee condivise (probabilmente per bloccare le botnet concorrenti). Per diffondersi, il malware analizza indirizzi IP casuali alla ricerca di dispositivi vulnerabili. Dopo aver ricevuto un comando dal server di comando e controllo, la botnet lancia vari tipi di attacchi DDoS: UDP, TCP, VSE, GRE, RDP, OSPF, ICMP, IGMP, TCP_SYN, TCP-ACK, TCP-ACKPSH e flooding HTTP.
“Masjesu evita chiaramente attacchi a infrastrutture e organizzazioni critiche che potrebbero attirare l’attenzione delle forze dell’ordine”, osserva Trellix. “Questa strategia aumenta le sue possibilità di sopravvivenza.”
