Botnet Masjesu quay trở lại, lợi dụng IoT để tấn công DDoS quy mô lớn

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.784 bài viết
Botnet Masjesu quay trở lại, lợi dụng IoT để tấn công DDoS quy mô lớn
WhiteHat Team
Một botnet nguy hiểm có tên Masjesu đang cho thấy dấu hiệu quay trở lại với nhiều nâng cấp đáng chú ý, tiếp tục khai thác các thiết bị IoT để thực hiện các cuộc tấn công từ chối dịch vụ (DDoS) trên diện rộng. Dù đã được phát hiện từ năm 2023, những diễn biến mới nhất cho thấy botnet này không chỉ tồn tại mà còn tiến hóa theo hướng tinh vi, bền bỉ và khó phát hiện hơn, đặt ra rủi ro lớn cho cả doanh nghiệp lẫn người dùng cá nhân.
1775725643096.png

Masjesu là một botnet chuyên phục vụ các cuộc tấn công DDoS, được rao bán như một dịch vụ “DDoS-for-hire” trên nền tảng Telegram. Botnet này còn được biết đến với tên gọi XorBot, do sử dụng kỹ thuật mã hóa XOR để che giấu cấu hình và payload.

Chiến dịch lần đầu được ghi nhận bởi NSFOCUS vào cuối năm 2023, liên kết với một đối tượng có biệt danh “synmaestro”. Các phân tích mới nhất từ Trellix cho thấy Masjesu đang tiếp tục mở rộng quy mô và cải tiến kỹ thuật tấn công.​

Đây là lỗ hổng gì, tồn tại ở đâu và nguyên nhân từ đâu?​

Khác với các lỗ hổng đơn lẻ, Masjesu không khai thác một lỗi duy nhất mà tận dụng hàng loạt lỗ hổng phổ biến trên thiết bị IoT như router, camera, DVR/NVR. Các lỗ hổng chủ yếu bao gồm:​
  • Lỗ hổng tiêm lệnh​
  • Lỗ hổng RCE​
  • Các dịch vụ mở cổng mặc định (ví dụ cổng 52869 trên thiết bị dùng Realtek SDK)​
Nguyên nhân cốt lõi đến từ:​
  • Thiết bị IoT cấu hình yếu, ít được cập nhật​
  • Firmware tồn tại lỗ hổng lâu năm chưa vá​
  • Người dùng không thay đổi mật khẩu mặc định​

Cơ chế khai thác và cách thức tấn công​

Quá trình tấn công của Masjesu được thiết kế theo hướng tự động hóa và âm thầm. Ban đầu, botnet quét internet để tìm các thiết bị IoT có cổng mở hoặc tồn tại lỗ hổng. Sau khi xâm nhập thành công, mã độc sẽ thiết lập kết nối socket trên cổng TCP cố định (55988), cho phép kẻ tấn công điều khiển từ xa. Tiếp theo, chúng sẽ thực hiện lần lượt các bước:​
  • Thiết lập cơ chế duy trì​
  • Ngắt các tiến trình như wget, curl để tránh cạnh tranh với botnet khác​
  • Kết nối tới máy chủ điều khiển (C2) để nhận lệnh tấn công​
Một điểm đáng chú ý là Masjesu có khả năng tự lây lan, tiếp tục quét và xâm nhập các thiết bị khác, từ đó mở rộng quy mô mạng botnet.​

Điểm mới và nguy hiểm trong chiến dịch lần này​

So với các biến thể trước, Masjesu hiện nay có một số thay đổi đáng lo ngại:​
  • Bổ sung hơn 12 exploit nhắm vào nhiều hãng thiết bị như D-Link, Huawei, TP-Link, NETGEAR​
  • Tối ưu hóa để hoạt động “âm thầm”, tránh các dải IP nhạy cảm như hệ thống của quân đội Mỹ​
  • Sử dụng mạng xã hội (Telegram) để quảng bá và vận hành dịch vụ​
  • Lưu lượng tấn công ghi nhận cao từ nhiều quốc gia, trong đó Việt Nam chiếm gần 50%​
Điều này cho thấy botnet không chỉ mở rộng mà còn có chiến lược vận hành dài hạn, tránh bị triệt phá.​

Rủi ro và hậu quả đối với người dùng và tổ chức​

Việc bị lợi dụng làm một phần của botnet có thể dẫn đến nhiều hệ quả nghiêm trọng:​
  • Thiết bị IoT bị kiểm soát từ xa mà người dùng không hay biết​
  • Bị sử dụng để tấn công DDoS vào hệ thống khác​
  • Giảm hiệu năng mạng, tăng nguy cơ bị theo dõi​
  • Trở thành điểm xâm nhập ban đầu vào mạng nội bộ doanh nghiệp​
Ở cấp độ tổ chức, botnet có thể gây:​
  • Gián đoạn dịch vụ trực tuyến​
  • Thiệt hại tài chính do downtime​
  • Ảnh hưởng uy tín thương hiệu​

Phạm vi và mức độ ảnh hưởng​

Masjesu hiện đang nhắm tới hàng loạt thiết bị IoT trên toàn cầu, đặc biệt là: Router gia đình và doanh nghiệp nhỏ, Camera giám sát, Thiết bị lưu trữ hình ảnh (DVR/NVR),... Với hàng triệu thiết bị IoT tồn tại lỗ hổng chưa vá, quy mô ảnh hưởng được đánh giá là rộng và khó kiểm soát.​

Phòng tránh và khuyến nghị từ chuyên gia​

Hiện chưa có “bản vá chung” cho botnet này vì nó khai thác nhiều lỗ hổng khác nhau. Tuy nhiên, các chuyên gia khuyến nghị:​
  • Cập nhật firmware mới nhất cho tất cả thiết bị IoT​
  • Thay đổi mật khẩu mặc định, sử dụng mật khẩu mạnh​
  • Tắt các dịch vụ không cần thiết và đóng các cổng mở​
  • Giới hạn truy cập thiết bị từ internet (NAT, firewall)​
  • Giám sát lưu lượng mạng bất thường, đặc biệt là kết nối ra ngoài​
Đối với doanh nghiệp:​
  • Triển khai phân đoạn mạng (network segmentation)​
  • Theo dõi log truy cập và hành vi bất thường​
  • Sử dụng hệ thống phát hiện xâm nhập (IDS/IPS)​
Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Hơn 1.000 máy chủ ComfyUI bị chiếm quyền, hóa mỏ đào coin trong chiến dịch botnet lớn
  • RondoDox: Botnet tích hợp 174 lỗ hổng, tận dụng IP dân dụng làm hạ tầng tấn công
  • Kỷ lục mới của DDoS: Botnet Aisuru tạo đỉnh tấn công 31,4 Tbps, vượt xa mọi tiền lệ
  • Botnet và trojan quốc tế bùng phát, hạ tầng tại Việt Nam bị lợi dụng
  • TV Box, Smart TV giá rẻ tại Việt Nam bị biến thành mắt xích của mạng botnet toàn cầu
  • Botnet RondoDox lợi dụng lỗ hổng React2Shell đẩy hàng chục nghìn máy chủ vào nguy hiểm
    • Thẻ
    botnet ddos masjesu
    Bên trên