201/69 (IT) ประจำวันพฤหัสบดีที่ 9 เมษายน 2569
Trellix เปิดเผยรายละเอียดของบอตเน็ต Masjesu ซึ่งถูกออกแบบมาเพื่อโจมตีแบบ Distributed Denial-of-Service (DDoS) โดยเฉพาะ เริ่มเคลื่อนไหวตั้งแต่ปี 2023 ผู้ควบคุมบอตเน็ตโปรโมตบริการผ่าน Telegram ทั้งภาษาจีนและอังกฤษ พร้อมอ้างว่าสามารถเปิดการโจมตีได้ในระดับหลายร้อยกิกะไบต์ จากการวิเคราะห์พบว่าบอตเน็ตรองรับหลายสถาปัตยกรรม เช่น i386 MIPS ARM SPARC PPC 68K และ AMD64 ขณะที่อุปกรณ์ที่ได้รับผลกระทบส่วนใหญ่อยู่ในเวียดนาม และยังพบในบราซิล อินเดีย อิหร่าน เคนยา และยูเครน
Masjesu แพร่กระจายผ่านช่องโหว่ในอุปกรณ์ IoT หลายประเภท เช่น เราเตอร์ D-Link, Huawei และ Netgear รวมถึงเครื่องบันทึกวิดีโอดิจิทัล (DVR) ของ MVPower และบริการ UPnP เด่นของมันคือการมุ่งเน้นความคงอยู่ในระบบในระยะยาวมากกว่าการแพร่กระจายแบบกว้าง โดยมัลแวร์จะเปลี่ยนชื่อไฟล์ให้ดูคล้ายองค์ประกอบที่ถูกต้องของระบบ Linux และสร้าง cron Job เพื่อสั่งให้รันตัวเองใหม่ทุก 15 นาที นอกจากนี้ยังมีการเข้ารหัสข้อมูลสำคัญ เช่น โดเมน C2 และพอร์ตต่าง ๆ ไว้ในตาราง Lookup เพื่อถอดรหัสขณะทำงานเท่านั้น
ในการปฏิบัติการ Masjesu สามารถสั่งโจมตี DDoS ได้หลายรูปแบบ เช่น UDP, TCP, HTTP floods หรือโพรโทคอลเฉพาะทางอย่าง GRE และ มัลแวร์ยังสามารถยุติการทำงานของเครื่องมืออย่าง wget และ curl รวมถึงล็อกโฟลเดอร์ชั่วคราวเพื่อป้องกันบอตเน็ตตัวอื่นเข้ามายึดเครื่องซ้ำ Trellix ระบุบอตเน็ตนี้ให้ความสำคัญกับการหลบเลี่ยงการตรวจจับและการฝังตัวในระบบเป็นหลัก โดยไม่เน้นการแพร่กระจายแบบโจ่งแจ้ง
แหล่งข่าว https://www.securityweek.com/evasive-masjesu-ddos-botnet-targets-iot-devices/