サイバーセキュリティ研究者たちが、分散型サービス拒否（DDoS）攻撃のために設計された、目立たないボットネットを明らかにしました。 # Masjesuボットネット、DDoS攻撃請負サービスとして浮上 **Masjesu**と名付けられたこのボットネットは、2023年の出現以来、Telegram上でDDoS攻撃請負サービスとして宣伝されてきました。ルーターやゲートウェイを含む、さまざまなアーキテクチャの多様なIoTデバイスを侵害するように設計されています。  **Trellix**のセキュリティ研究者であるMohideen Abdul Khader F氏は、「永続性と低可視性を重視して構築されたMasjesuは、広範な感染よりも慎重で控えめな実行を好み、長期的な生存を確保するために、国防総省（**DoD**）に属するIP範囲などのブロックリストに載っているIP範囲を意図的に避けています。」と述べています。 # XorBotとの関連と進化 この商用サービスは、文字列、設定、ペイロードデータを難読化するためにXORベースの暗号化を使用していることから、XorBotとしても知られています。**NSFOCUS**は2023年12月にこれを最初に文書化し、「synmaestro」というオペレーターに帰属させています。 ボットネットの後続のイテレーションでは、**D-Link**、**Eir**、**GPON**、**Huawei**、**Intelbras**、**MVPower**、**NETGEAR**、**TP-Link**、**Vacron**などのベンダーのルーター、カメラ、DVR、NVRを標的とする12のコマンドインジェクションおよびコード実行エクスプロイトが追加されました。これらのエクスプロイトは、DDoSフラッド攻撃を実行するための新しいモジュールとともに、初期アクセスに使用されます。 **NSFOCUS**は2024年11月に、「新興のボットネットファミリーとして、XorBotは強力な成長モメンタムを示しており、継続的に新しいIoTデバイスに侵入・制御しています…これらのコントローラーは、Telegramのようなソーシャルメディアプラットフォームを、リクルートとプロモーションの主なチャネルとしてますます活用する傾向があります。」と指摘しています。  # 攻撃の起源とマルウェアの挙動 Trellixの研究によると、Masjesuは、コンテンツ配信ネットワーク（CDN）、ゲームサーバー、企業を標的とするための多様なボットネットインフラストラクチャを強調し、ボリューム型DDoS攻撃を開始する能力を宣伝しています。攻撃の大部分はベトナム、ウクライナ、イラン、ブラジル、ケニア、インドから発生しており、ベトナムが観測されたトラフィックの約50％を占めています。 展開後、マルウェアはハードコードされたTCPポート（55988）でソケットを作成してバインドし、攻撃者からの直接接続を可能にします。この操作が失敗すると、攻撃チェーンは終了します。 展開の成功には、永続性の設定、終了シグナルの無視、および競合するボットネットを妨害する可能性のある`wget`や`curl`などのプロセスの停止が含まれます。その後、マルウェアは外部サーバーに接続してDDoS攻撃コマンドを受信します。 # 自己増殖とRealtekルーターの悪用 Masjesuは自己増殖能力を備えており、インフラストラクチャを拡大するために開いているポートをランダムなIPアドレスにプローブします。注目すべき標的は**Realtek**ルーターであり、Realtek SDKの`miniigd`デーモンに関連付けられているポート52869をスキャンして悪用されます。**JenX**や**Satori**のようなボットネットも以前は同様のアプローチを使用していました。 Trellixは、「このボットネットは、複数のアーキテクチャとメーカーにわたる幅広いIoTデバイスに感染させることで拡大を続けています…Masjesuは、重大な法的または法執行機関の注目を集める可能性のある機密性の高い重要組織を標的とすることを避けているようです。これは、長期的な生存可能性を向上させる戦略であると考えられます。」と結論付けています。