Оферта за отстъпка за множество лицензи
База данни за заплахи Ботнет мрежи JDY ботнет

JDY ботнет

До Mezo през Ботнет мрежи, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Изследователи по киберсигурност са установили значително възраждане и разширяване на JDY, тайна мрежа, свързана с обвързани с Китай и спонсорирани от държавата злонамерени лица. Първоначално открита през декември 2023 г. като клъстер в рамките на по-голямата инфраструктура на KV-ботнет мрежата, JDY се е превърнала в независима, високоефективна разузнавателна платформа.

Мрежата се състои от над 1500 компрометирани устройства за малки офиси/домашни офиси (SOHO) и Интернет на нещата (IoT). Вместо да се използва предимно за директни атаки, JDY функционира като централно управлявана, високопроизводителна система за сканиране, способна да открива, снема пръстови отпечатъци и непрекъснато да картографира услуги, изложени на интернет, в голям мащаб.

Китайски хакерски групи, включително Volt Typhoon, вече са използвали мрежата, за да подпомогнат събирането на разузнавателна информация и усилията за идентифициране на цели.

Адаптация след премахването на KV-Botnet

След като правителството на САЩ демонтира KV-ботнета в началото на 2024 г., операторите на JDY промениха оперативното си поведение. Докато вторичният KV клъстер до голяма степен изчезна, JDY продължи да се развива и разширява. Изследователите смятат, че инфраструктурата може да се споделя с множество китайски хакерски групи, като същевременно се използва директно от нейните оператори за разузнавателни дейности.

Последните разследвания разкриват, че зловредният софтуер вече е насочен към много по-широк кръг от устройства и служи като слой за събиране на данни в рамките на по-голяма екосистема за сканиране. Структурираната разузнавателна информация, събрана от JDY, се подава в системи, които улесняват избора на цел и последващите дейности по експлоатация.

Особено обезпокоителна е ролята на JDY в бързото идентифициране на уязвими системи след публични разкрития за уязвимости. Това поведение предполага съществуването на високоорганизирана разузнавателна операция, чиито открития по-късно се използват от китайските национални държави.

Бърз растеж и глобална експанзия

Ботнетът е претърпял значителен растеж, като се е увеличил от приблизително 650 заразени устройства през януари 2024 г. до над 1500 компрометирани системи. Повечето заразени възли се намират в Съединените щати и Бразилия, с допълнителни концентрации в Европа и Азия. Нарастващият брой бразилски устройства отразява по-широка тенденция, при която ботнет мрежите все повече разчитат на компрометирани системи в Бразилия.

Екосистемата от устройства на JDY също стана значително по-разнообразна. Докато по-ранните версии разчитаха предимно на рутери Cisco RV320 и RV325, настоящата мрежа включва хардуер от множество доставчици:

  • Сиско
  • Аракнис
  • Мимоза Нетуъркс
  • Убикуити
  • ДрейТек
  • Hikvision
  • Линксис

Това разнообразие укрепва устойчивостта на мрежата и разширява нейния оперативен обхват.

Сливане с легитимен интернет трафик

Значителна част от инфраструктурата на JDY е съставена от базирани в САЩ SOHO и IoT устройства. Това разпределение позволява на операторите да заобиколят много традиционни контроли за сигурност, включително ограничения за геозониране, филтриране на репутацията на IP адреси и статични списъци с блокирани адреси.

Чрез разпространение на разузнавателна дейност върху хиляди компрометирани IP адреси, операторите намаляват вероятността която и да е система да бъде идентифицирана и блокирана като източник на сканиране. Освен това, използването на легитимни потребителски и малки бизнес устройства позволява на злонамерен трафик да се смесва по-естествено с обикновената интернет активност, което прави откриването значително по-трудно.

Многослойна инфраструктура, проектирана за скритост

JDY работи чрез сложна, многопластова архитектура. Злонамерените лица използват Tor възли, за да управляват както инфраструктурата за командване и контрол (C2), така и сървърите за доставка на полезен товар, което помага за прикриване на оперативната дейност.

Вместо да извършват безразборно сканиране на целия интернет, C2 сървърите възлагат целенасочени задачи за разузнаване и профилиране на заразените устройства. Събраната разузнавателна информация се предава обратно на централизирани сървъри, където се обобщава и анализира в подкрепа на по-широки китайски кибероперации и стратегически цели.

Използване на новоразкрити уязвимости

Веригите от атаки, свързани с JDY, често използват новопубликувани уязвимости в периферни устройства, включително уязвимости като CVE-2026-35616. Успешната експлоатация задейства доставянето на shell-скрипт, който първо проверява дали зловредният софтуер вече е наличен в целевата система.

Ако не се открие активна инфекция, дропърът извлича подходящия зловреден софтуер въз основа на архитектурата на процесора на жертвата, включително варианти за системи MIPS, MIPS64, MIPSEL и MIPSEL64. След изпълнение, изтегленият зловреден софтуер се премахва от диска, за да намали видимостта при криминалистични анализи.

Разширени възможности за разузнаване и адаптивно сканиране

Основната цел на зловредния софтуер е събирането на разузнавателна информация, а не директната експлоатация. След като е активен, той снема пръстови отпечатъци от компрометирания хост, получава задачи за сканиране от централната командна инфраструктура, извършва мащабно мрежово сондиране, събира данни за отговор, като TLS сертификати и метаданни за услуги, и докладва констатациите обратно на диспечерските сървъри.

Сканиращият му енджин е силно адаптивен и настройва поведението си според наличните привилегии на заразеното устройство:

Когато е наличен root достъп, зловредният софтуер отваря сурови сокети и извършва високоскоростно SYN сканиране, използвайки персонализирани TCP пакети.
Когато повишените привилегии не са налични или когато е необходимо уеб-базирано разузнаване, то разчита на стандартни TCP и TLS връзки и може също да използва UDP и ICMP-базирани техники за сондиране.

Тази гъвкавост позволява на JDY да увеличи максимално ефективността на разузнаването в широк спектър от компрометирани системи.

Постоянна разузнавателна способност за китайските заплашителни актори

Изследователите смятат, че разузнавателната информация, събрана чрез JDY, поддържа операции за откриване на активи, работни процеси, насочени към откриване на уязвимости, и платформи за експлоатация надолу по веригата или оркестрация на атаки.

Ботнетът илюстрира как съвременните мрежи от IoT и SOHO устройства все повече се трансформират в платформи за бързо реагиране, способни да идентифицират уязвима инфраструктура скоро след като пропуските в сигурността станат публични. Непрекъснатият му растеж показва, че нарушаването на отделни клъстери или възли не елиминира непременно основната ѝ способност.

Трансформацията на JDY от поддържащ елемент на KV-ботнета в независима, високопроизводителна разузнавателна платформа подчертава устойчивостта и адаптивността на съвременните екосистеми от киберзаплахи. Дори след усилията за премахване, инфраструктурата продължава да се развива, предоставяйки на противниците приложима разузнавателна информация за насочване, често в рамките на часове след разкриване на нова уязвимост.

Тенденция

Panaptor.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Да бъдете предпазливи при сърфиране в интернет е по-важно от всякога. Недобросъвестните уебсайтове често използват подвеждащи тактики, за да манипулират посетителите да предоставят разрешения или...

Актуализация на сигурността за разпознаване на...

Фишинг, Спам
Неочакваните имейли, които изискват спешни действия, винаги трябва да се третират с повишено внимание, особено когато включват предупреждения за сигурността на акаунта или искания за проверка на лична информация. Киберпрестъпниците често маскират фишинг съобщенията като официални известия, за да манипулират получателите и да ги накарат да разкрият чувствителни данни. Имейлите „Актуализация на...

Aibrowseruodate.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Да бъдете предпазливи при сърфиране в интернет е по-важно от всякога. Киберпрестъпниците и измамните рекламодатели постоянно създават нелоялни уебсайтове, предназначени да манипулират посетителите,...

Най-гледан

Зареждане...