Slevová nabídka pro více licencí
Databáze hrozeb Botnety Botnet JDY

Botnet JDY

V roce Mezo v roce Botnety, Pokročilá trvalá hrozba (APT)
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti identifikovali významný návrat a expanzi JDY, tajné sítě propojené s čínskými a státem sponzorovanými aktéry hrozeb. JDY, původně detekovaná v prosinci 2023 jako klastr v rámci větší infrastruktury botnetů KV, se vyvinula v nezávislou a vysoce efektivní průzkumnou platformu.

Síť se skládá z více než 1 500 napadených zařízení pro malé kanceláře/domácí kanceláře (SOHO) a internet věcí (IoT). JDY není primárně využíván k přímým útokům, ale funguje jako centrálně spravovaný, vysoce výkonný skenovací systém schopný objevovat, otiskovat a průběžně mapovat služby vystavené internetu ve velkém měřítku.

Čínské skupiny zaměřené na vyhledávání hrozby, včetně Volt Typhoon, již dříve využívaly tuto síť k podpoře shromažďování zpravodajských informací a identifikaci cílů.

Adaptace po zastavení útoku KV-Botnet

Poté, co americká vláda na začátku roku 2024 zlikvidovala botnet KV, operátoři JDY upravili své operační chování. Zatímco sekundární klastr KV z velké části zmizel, JDY se dále vyvíjela a rozšiřovala. Výzkumníci se domnívají, že infrastruktura může být sdílena s několika čínskými hackerskými skupinami a zároveň přímo využívána jejími operátory pro průzkumné aktivity.

Nedávné vyšetřování odhalilo, že malware nyní cílí na mnohem širší škálu zařízení a slouží jako vrstva sběru dat v rámci většího ekosystému skenování. Strukturované průzkumné informace shromážděné systémem JDY jsou předávány do systémů, které usnadňují výběr cílů a následné aktivity zneužití.

Obzvláště znepokojivá je role JDY v rychlé identifikaci zranitelných systémů po zveřejnění zranitelností. Toto chování naznačuje existenci vysoce organizované průzkumné operace, jejíž zjištění později využívají čínští národní aktéři.

Rychlý růst a globální expanze

Botnet zaznamenal značný růst, z přibližně 650 infikovaných zařízení v lednu 2024 se zvýšil na více než 1 500 napadených systémů. Většina infikovaných uzlů se nachází ve Spojených státech a Brazílii, s dalšími koncentracemi v Evropě a Asii. Rostoucí počet brazilských zařízení odráží širší trend, kdy se botnety stále více spoléhají na napadené systémy v Brazílii.

Ekosystém zařízení JDY se také stal podstatně rozmanitějším. Zatímco dřívější verze se primárně spoléhaly na routery Cisco RV320 a RV325, současná síť zahrnuje hardware od více dodavatelů:

  • Cisco
  • Araknis
  • Mimosa Networks
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

Tato rozmanitost posiluje odolnost sítě a rozšiřuje její operační dosah.

Prolínání s legitimním internetovým provozem

Významnou část infrastruktury JDY tvoří zařízení SOHO a IoT se sídlem v USA. Tato distribuce umožňuje operátorům obejít mnoho tradičních bezpečnostních kontrol, včetně omezení geofencingu, filtrování reputace IP adres a statických blokovacích seznamů.

Rozložením průzkumné aktivity na tisíce napadených IP adres operátoři snižují pravděpodobnost, že jakýkoli jednotlivý systém bude identifikován a zablokován jako zdroj skenování. Použití legitimních zařízení spotřebitelů a malých firem navíc umožňuje škodlivému provozu přirozenější prolínání s běžnou internetovou aktivitou, což výrazně ztěžuje detekci.

Vrstvená infrastruktura navržená pro nenápadnost

JDY funguje prostřednictvím sofistikované, vrstvené architektury. Útočníci používají uzly Tor ke správě infrastruktury velení a řízení (C2) a serverů pro doručování dat, což pomáhá maskovat operační aktivitu.

Místo provádění neselektivního skenování celého internetu servery C2 přiřazují infikovaným zařízením cílené průzkumné a profilovací úkoly. Shromážděné informace jsou přenášeny zpět na centralizované servery, kde jsou agregovány a analyzovány za účelem podpory širších čínských kybernetických operací a strategických cílů.

Zneužívání nově odhalených zranitelností

Řetězce útoků spojené s JDY často zneužívají nově publikované zranitelnosti v edge zařízeních, včetně zranitelností, jako je CVE-2026-35616. Úspěšné zneužití spustí doručení shellového skriptu, který nejprve zkontroluje, zda je malware již v cílovém systému přítomen.

Pokud není detekována žádná aktivní infekce, dropper načte odpovídající malware payload na základě architektury procesoru oběti, včetně variant pro systémy MIPS, MIPS64, MIPSEL a MIPSEL64. Po spuštění se stažený malware odstraní z disku, aby se snížila jeho viditelnost pro forenzní analýzu.

Pokročilé průzkumné a adaptivní skenovací schopnosti

Primárním účelem malwaru je spíše shromažďování informací než přímé zneužívání. Jakmile je malware aktivní, otiskne otisky prstů napadeného hostitele, přijímá skenovací úkoly od centrální řídicí infrastruktury, provádí rozsáhlé síťové sondování, shromažďuje data odpovědí, jako jsou certifikáty TLS a metadata služeb, a hlásí zjištění zpět na dispečerské servery.

Jeho skenovací engine je vysoce adaptivní a upravuje své chování podle oprávnění dostupných na infikovaném zařízení:

Pokud je k dispozici přístup na úrovni root, malware otevírá nezpracované sockety a provádí vysokorychlostní SYN skenování pomocí speciálně vytvořených TCP paketů.
Pokud nejsou k dispozici zvýšená oprávnění nebo je vyžadován webový průzkum, spoléhá se na standardní připojení TCP a TLS a může také využít techniky sondování založené na protokolech UDP a ICMP.

Tato flexibilita umožňuje JDY maximalizovat efektivitu průzkumu v široké škále ohrožených systémů.

Trvalá průzkumná schopnost pro čínské hrozby

Výzkumníci se domnívají, že informace shromážděné prostřednictvím JDY podporují operace vyhledávání aktiv, pracovní postupy zaměřené na zranitelnosti a platformy pro následné zneužívání nebo orchestraci útoků.

Botnet ilustruje, jak se moderní sítě zařízení IoT a SOHO stále více transformují v platformy pro rychlou odezvu a průzkum, které jsou schopny identifikovat zranitelnou infrastrukturu krátce poté, co se bezpečnostní chyby stanou veřejně dostupnými. Jeho neustálý růst ukazuje, že narušení jednotlivých clusterů nebo uzlů nemusí nutně eliminovat základní schopnost.

Transformace JDY z podpůrného prvku KV-botnetu na nezávislou, vysoce výkonnou průzkumnou platformu zdůrazňuje vytrvalost a přizpůsobivost moderních ekosystémů kybernetických hrozeb. I po snaze o jejich zneškodnění se infrastruktura neustále vyvíjí a poskytuje protivníkům akční informace o cílení, často během několika hodin od odhalení nové zranitelnosti.

Trendy

Aktualizace zabezpečení pro rozpoznávání...

Phishing, Spam
S neočekávanými e-maily, které vyžadují naléhavou akci, by se mělo vždy zacházet opatrně, zejména pokud obsahují varování týkající se zabezpečení účtu nebo žádosti o ověření osobních údajů. Kyberzločinci často maskují phishingové zprávy jako oficiální oznámení, aby manipulovali s příjemci a přiměli je odhalit citlivé údaje. E-maily s názvem „Aktualizace zabezpečení pro rozpoznávání...

Nejvíce shlédnuto

Načítání...