Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Botnets Xarxa de bots JDY

Xarxa de bots JDY

El Mezo el Botnets, Amenaça persistent avançada (APT)
Traduir a:

Investigadors de ciberseguretat han identificat un ressorgiment i una expansió significatius de JDY, una xarxa encoberta vinculada a actors d'amenaces patrocinats per estats alineats amb la Xina. Detectada originalment el desembre de 2023 com un clúster dins de la infraestructura més gran de la botnet KV, JDY ha evolucionat fins a convertir-se en una plataforma de reconeixement independent i altament eficaç.

La xarxa consta de més de 1.500 dispositius de Small Office/Home Office (SOHO) i Internet of Things (IoT) compromesos. En lloc d'utilitzar-se principalment per a atacs directes, JDY funciona com un sistema d'escaneig d'alt rendiment gestionat centralment, capaç de descobrir, prendre empremtes digitals i cartografiar contínuament serveis exposats a Internet a gran escala.

Grups d'amenaces xinesos, inclòs Volt Typhoon, han aprofitat anteriorment la xarxa per donar suport a la recopilació d'intel·ligència i als esforços d'identificació d'objectius.

Adaptació després de la destrucció de la KV-Botnet

Després que el govern dels Estats Units desmantellés la botnet KV a principis del 2024, els operadors de JDY van modificar el seu comportament operatiu. Mentre que un clúster KV secundari va desaparèixer en gran part, JDY va continuar evolucionant i expandint-se. Els investigadors creuen que la infraestructura es pot compartir amb múltiples grups de pirates informàtics xinesos, alhora que els seus operadors també l'utilitzen directament per a activitats de reconeixement.

Investigacions recents revelen que el programari maliciós ara té com a objectiu una gamma molt més àmplia de dispositius i serveix com a capa de recopilació de dades dins d'un ecosistema d'escaneig més ampli. La informació de reconeixement estructurada recopilada per JDY s'introdueix en sistemes que faciliten la selecció d'objectius i les activitats d'explotació posteriors.

Particularment preocupant és el paper de JDY en la identificació ràpida de sistemes vulnerables després de les revelacions públiques de vulnerabilitats. Aquest comportament suggereix l'existència d'una operació de reconeixement altament organitzada, els resultats de la qual són utilitzats posteriorment per actors estatals xinesos.

Creixement ràpid i expansió global

La xarxa de bots ha experimentat un creixement substancial, passant d'aproximadament 650 dispositius infectats el gener de 2024 a més de 1.500 sistemes compromesos. La majoria dels nodes infectats es troben als Estats Units i al Brasil, amb concentracions addicionals a Europa i Àsia. El nombre creixent de dispositius brasilers reflecteix una tendència més àmplia en què les xarxes de bots depenen cada cop més dels sistemes compromesos del Brasil.

L'ecosistema de dispositius de JDY també s'ha tornat considerablement més divers. Mentre que les versions anteriors es basaven principalment en encaminadors Cisco RV320 i RV325, la xarxa actual inclou maquinari de diversos proveïdors:

  • Cisco
  • Araknis
  • Mimosa Networks
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

Aquesta diversitat reforça la resiliència de la xarxa i amplia el seu abast operatiu.

Barrejant-se amb el trànsit d’Internet legítim

Una part important de la infraestructura de JDY està composta per dispositius SOHO i IoT amb seu als Estats Units. Aquesta distribució permet als operadors eludir molts controls de seguretat tradicionals, com ara restriccions de geofencing, filtratge de reputació IP i llistes de bloqueig estàtiques.

En distribuir l'activitat de reconeixement a través de milers d'adreces IP compromeses, els operadors redueixen la probabilitat que qualsevol sistema sigui identificat i bloquejat com a font d'escaneig. A més, l'ús de dispositius legítims de consumidors i petites empreses permet que el trànsit maliciós es barregi de manera més natural amb l'activitat ordinària d'Internet, cosa que dificulta significativament la detecció.

Infraestructura en capes dissenyada per a la furtivitat

JDY opera a través d'una arquitectura sofisticada i en capes. Els actors amenaçadors utilitzen nodes Tor per gestionar tant la infraestructura de comandament i control (C2) com els servidors de lliurament de càrrega útil, cosa que ajuda a ocultar l'activitat operativa.

En lloc de dur a terme escanejos indiscriminats a tot Internet, els servidors C2 assignen tasques de reconeixement i perfilació específiques als dispositius infectats. La intel·ligència recopilada es transmet de tornada als servidors centralitzats, on s'agrega i s'analitza per donar suport a operacions cibernètiques i objectius estratègics xinesos més amplis.

Explotació de vulnerabilitats recentment revelades

Les cadenes d'atac associades amb JDY sovint utilitzen vulnerabilitats recentment publicades en dispositius perifèrics, incloent-hi vulnerabilitats com ara CVE-2026-35616. Una explotació reeixida desencadena el lliurament d'un dropper de shell-script que primer comprova si el programari maliciós ja és present al sistema objectiu.

Si no es detecta cap infecció activa, el dropper recupera la càrrega de programari maliciós adequada en funció de l'arquitectura del processador de la víctima, incloent-hi variants per a sistemes MIPS, MIPS64, MIPSEL i MIPSEL64. Un cop executat, el programari maliciós descarregat s'elimina del disc per reduir la visibilitat forense.

Capacitats avançades de reconeixement i escaneig adaptatiu

L'objectiu principal del programari maliciós és la recopilació d'intel·ligència en lloc de l'explotació directa. Un cop actiu, pren les empremtes digitals de l'amfitrió compromès, rep assignacions d'escaneig de la infraestructura de comandament central, realitza sondejos de xarxa a gran escala, recopila dades de resposta com ara certificats TLS i metadades de servei, i informa dels resultats als servidors de despatx.

El seu motor d'escaneig és altament adaptatiu i ajusta el seu comportament segons els privilegis disponibles al dispositiu infectat:

Quan hi ha accés a nivell d'arrel disponible, el programari maliciós obre sockets en brut i realitza una exploració SYN d'alta velocitat mitjançant paquets TCP personalitzats.
Quan els privilegis elevats no estan disponibles o quan es requereix un reconeixement basat en web, es basa en connexions TCP i TLS estàndard i també pot emprar tècniques de sondeig basades en UDP i ICMP.

Aquesta flexibilitat permet a JDY maximitzar l'eficàcia del reconeixement en una àmplia gamma de sistemes compromesos.

Una capacitat de reconeixement persistent per als actors d’amenaces xinesos

Els investigadors creuen que la intel·ligència recopilada a través de JDY dóna suport a operacions de descobriment d'actius, fluxos de treball de focalització de vulnerabilitats i plataformes d'explotació o orquestració d'atacs posteriors.

La botnet il·lustra com les xarxes modernes de dispositius IoT i SOHO s'estan transformant cada cop més en plataformes de reconeixement de resposta ràpida capaces d'identificar infraestructures vulnerables poc després que les fallades de seguretat es facin públiques. El seu creixement continu demostra que la interrupció de clústers o nodes individuals no elimina necessàriament la capacitat subjacent.

La transformació de JDY d'un element de suport de la KV-botnet a una plataforma de reconeixement independent i d'alt rendiment destaca la persistència i l'adaptabilitat dels ecosistemes moderns d'amenaces cibernètiques. Fins i tot després dels esforços d'eliminació, la infraestructura continua evolucionant, proporcionant als adversaris intel·ligència de segmentació accionable, sovint poques hores després de la divulgació d'una nova vulnerabilitat.

Tendència

Més vist

Carregant...