Cybersicherheitsforscher haben ein diskretes Botnet aufgedeckt, das für Distributed-Denial-of-Service (DDoS)-Angriffe entwickelt wurde. # Masjesu Botnet taucht als DDoS-for-Hire-Dienst auf Dieses als **Masjesu** bezeichnete Botnet wird seit seinem Auftauchen im Jahr 2023 als DDoS-for-Hire-Dienst auf Telegram beworben. Es ist darauf ausgelegt, eine Vielzahl von IoT-Geräten, darunter Router und Gateways, über verschiedene Architekturen hinweg zu kompromittieren.  Laut Mohideen Abdul Khader F, einem Sicherheitsforscher bei **Trellix**, "Masjesu wurde für Persistenz und geringe Sichtbarkeit entwickelt und bevorzugt eine sorgfältige, unauffällige Ausführung gegenüber weit verbreiteter Infektion. Es vermeidet bewusst blockierte IP-Bereiche, wie sie dem Verteidigungsministerium (**DoD**) gehören, um ein langfristiges Überleben zu gewährleisten." # XorBot-Verbindung und Entwicklung Das kommerzielle Angebot ist auch als XorBot bekannt, da es XOR-basierte Verschlüsselung zur Verschleierung von Strings, Konfigurationen und Payload-Daten verwendet. **NSFOCUS** dokumentierte es erstmals im Dezember 2023 und schrieb es einem Betreiber namens "synmaestro" zu. Eine spätere Iteration des Botnets fügte 12 Command-Injection- und Code-Execution-Exploits hinzu, die Router, Kameras, DVRs und NVRs von Herstellern wie **D-Link**, **Eir**, **GPON**, **Huawei**, **Intelbras**, **MVPower**, **NETGEAR**, **TP-Link** und **Vacron** ins Visier nahmen. Diese Exploits werden für den anfänglichen Zugriff verwendet, zusammen mit neuen Modulen zur Durchführung von DDoS-Flood-Angriffen. **NSFOCUS** stellte im November 2024 fest: "Als aufstrebende Botnet-Familie zeigt XorBot eine starke Wachstumstendenz und infiltriert und kontrolliert kontinuierlich neue IoT-Geräte… Diese Controller neigen zunehmend dazu, Social-Media-Plattformen wie Telegram als Hauptkanäle für Rekrutierung und Promotion zu nutzen."  # Angriffsquellen und Malware-Verhalten Trellix' Forschung deutet darauf hin, dass Masjesu seine Fähigkeit zur Durchführung volumetrischer DDoS-Angriffe vermarktet und seine vielfältige Botnet-Infrastruktur zur Bekämpfung von Content Delivery Networks (CDNs), Game-Servern und Unternehmen hervorhebt. Die Mehrheit der Angriffe stammt aus Vietnam, der Ukraine, dem Iran, Brasilien, Kenia und Indien, wobei Vietnam etwa 50 % des beobachteten Datenverkehrs ausmacht. Nach der Bereitstellung erstellt die Malware einen Socket und bindet ihn an einen hartcodierten TCP-Port (55988), um direkte Angreiferverbindungen zu ermöglichen. Ein Fehlschlag dieser Operation beendet die Angriffskette. Eine erfolgreiche Bereitstellung beinhaltet die Einrichtung von Persistenz, das Ignorieren von Beendigungssignalen und das Stoppen von Prozessen wie `wget` und `curl`, möglicherweise um konkurrierende Botnets zu stören. Die Malware verbindet sich dann mit einem externen Server, um DDoS-Angriffsbefehle zu empfangen. # Selbstverbreitung und Ausnutzung von Realtek-Routern Masjesu verfügt über selbstverbreitende Fähigkeiten und scannt zufällige IP-Adressen nach offenen Ports, um seine Infrastruktur zu erweitern. Ein bemerkenswertes Ziel sind **Realtek**-Router, die durch Scannen des Ports 52869 ausgenutzt werden, der mit dem `miniigd`-Daemon des Realtek SDK verbunden ist. Botnets wie **JenX** und **Satori** haben zuvor ähnliche Ansätze verfolgt. Trellix schließt: "Das Botnet expandiert weiter, indem es eine breite Palette von IoT-Geräten über mehrere Architekturen und Hersteller hinweg infiziert… Masjesu scheint die gezielte Bekämpfung sensibler kritischer Organisationen zu vermeiden, die erhebliche rechtliche oder strafverfolgungsrechtliche Aufmerksamkeit erregen könnten, eine Strategie, die wahrscheinlich sein langfristiges Überleben verbessert."