Rabattilbud med flere licenser
Trusseldatabase Botnets JDY Botnet

JDY Botnet

Med Mezo i Botnets, Advanced Persistent Threat (APT)
Oversæt til:

Cybersikkerhedsforskere har identificeret en betydelig genopblussen og udvidelse af JDY, et hemmeligt netværk forbundet med Kina-allierede, statsstøttede trusselsaktører. JDY, der oprindeligt blev opdaget i december 2023 som en klynge inden for den større KV-botnet-infrastruktur, har udviklet sig til en uafhængig og yderst effektiv rekognosceringsplatform.

Netværket består af mere end 1.500 kompromitterede enheder til små kontorer/hjemmekontorer (SOHO) og tingenes internet (IoT). I stedet for primært at blive brugt til direkte angreb, fungerer JDY som et centralt administreret, højtydende scanningssystem, der er i stand til at opdage, tage fingeraftryk og løbende kortlægge interneteksponerede tjenester i stor skala.

Kinesiske trusselsgrupper, herunder Volt Typhoon, har tidligere udnyttet netværket til at understøtte indsamling af efterretninger og målidentifikationsindsatsen.

Tilpasning efter KV-Botnet-nedlukningen

Efter at den amerikanske regering afviklede KV-botnettet i starten af 2024, ændrede JDY-operatørerne deres operationelle adfærd. Mens en sekundær KV-klynge stort set forsvandt, fortsatte JDY med at udvikle sig og ekspandere. Forskere mener, at infrastrukturen muligvis deles med flere kinesiske hackergrupper, samtidig med at den bruges direkte af dens operatører til rekognosceringsaktiviteter.

Nylige undersøgelser viser, at malwaren nu er rettet mod en langt bredere vifte af enheder og fungerer som et dataindsamlingslag inden for et større scanningsøkosystem. Struktureret rekognosceringsinformation indsamlet af JDY føres ind i systemer, der letter måludvælgelse og efterfølgende udnyttelsesaktiviteter.

Særligt bekymrende er JDY's rolle i hurtig identifikation af sårbare systemer efter offentlige afsløringer af sårbarheder. Denne adfærd antyder eksistensen af en velorganiseret rekognosceringsoperation, hvis resultater senere anvendes af kinesiske nationalstatslige aktører.

Hurtig vækst og global ekspansion

Botnettet har oplevet en betydelig vækst og er steget fra cirka 650 inficerede enheder i januar 2024 til mere end 1.500 kompromitterede systemer. De fleste inficerede noder er placeret i USA og Brasilien, med yderligere koncentrationer i Europa og Asien. Det stigende antal brasilianske enheder afspejler en bredere tendens, hvor botnet i stigende grad er afhængige af kompromitterede systemer i Brasilien.

JDYs enhedssystemer er også blevet betydeligt mere mangfoldige. Mens tidligere versioner primært var afhængige af Cisco RV320- og RV325-routere, inkluderer det nuværende netværk hardware fra flere leverandører:

  • Cisco
  • Araknis
  • Mimosa Networks
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

    • Denne mangfoldighed styrker netværkets modstandsdygtighed og udvider dets operationelle rækkevidde.

    Blanding med legitim internettrafik

    En betydelig del af JDYs infrastruktur består af amerikansk-baserede SOHO- og IoT-enheder. Denne distribution gør det muligt for operatører at omgå mange traditionelle sikkerhedskontroller, herunder geofencing-restriktioner, IP-omdømmefiltrering og statiske blokeringslister.

    Ved at sprede rekognosceringsaktivitet på tværs af tusindvis af kompromitterede IP-adresser reducerer operatørerne sandsynligheden for, at et enkelt system vil blive identificeret og blokeret som en scanningskilde. Desuden tillader brugen af legitime forbruger- og små virksomhedsenheder ondsindet trafik at blande sig mere naturligt med almindelig internetaktivitet, hvilket gør detektion betydeligt vanskeligere.

    Lagdelt infrastruktur designet til stealth

    JDY opererer gennem en sofistikeret, lagdelt arkitektur. Trusselaktører bruger Tor-noder til at administrere både Command-and-Control (C2) infrastruktur og payload delivery-servere, hvilket hjælper med at skjule operationel aktivitet.

    I stedet for at udføre vilkårlige internetdækkende scanninger tildeler C2-serverne målrettede rekognoscerings- og profileringsopgaver til inficerede enheder. De indsamlede oplysninger sendes tilbage til centraliserede servere, hvor de aggregeres og analyseres for at understøtte bredere kinesiske cyberoperationer og strategiske mål.

    Udnyttelse af nyligt afslørede sårbarheder

    Angrebskæder forbundet med JDY udnytter ofte nyligt offentliggjorte sårbarheder i edge-enheder som våben, herunder sårbarheder som CVE-2026-35616. Vellykket udnyttelse udløser levering af en shell-script dropper, der først kontrollerer, om malwaren allerede er til stede på målsystemet.

    Hvis der ikke registreres nogen aktiv infektion, henter dropperen den relevante malware-nyttelast baseret på offerets processorarkitektur, inklusive varianter for MIPS-, MIPS64-, MIPSEL- og MIPSEL64-systemer. Når den er udført, fjerner den downloadede malware sig selv fra disken for at reducere den retsmedicinske synlighed.

    Avancerede rekognoscerings- og adaptive scanningsfunktioner

    Malwarens primære formål er indsamling af efterretninger snarere end direkte udnyttelse. Når den er aktiv, tager den fingeraftryk af den kompromitterede vært, modtager scanningsopgaver fra den centrale kommandoinfrastruktur, udfører storstilet netværksundersøgelse, indsamler svardata såsom TLS-certifikater og servicemetadata og rapporterer resultater tilbage til afsendelsesservere.

    Dens scanningsmotor er yderst adaptiv og justerer sin adfærd i henhold til de rettigheder, der er tilgængelige på den inficerede enhed:

    Når adgang på root-niveau er tilgængelig, åbner malwaren rå sockets og udfører højhastigheds SYN-scanning ved hjælp af specialfremstillede TCP-pakker.
    Når forhøjede rettigheder ikke er tilgængelige, eller når webbaseret rekognoscering er påkrævet, er den afhængig af standard TCP- og TLS-forbindelser og kan også anvende UDP- og ICMP-baserede probingteknikker.

    Denne fleksibilitet gør det muligt for JDY at maksimere rekognosceringseffektiviteten på tværs af en bred vifte af kompromitterede systemer.

    En vedvarende rekognosceringskapacitet for kinesiske trusselsaktører

    Forskere mener, at den information, der indsamles gennem JDY, understøtter operationer til opdagelse af aktiver, arbejdsgange med målretning af sårbarheder og downstream-udnyttelses- eller angrebsorkestreringsplatforme.

    Botnettet illustrerer, hvordan moderne IoT- og SOHO-enhedsnetværk i stigende grad transformeres til hurtigresponsrekognosceringsplatforme, der er i stand til at identificere sårbar infrastruktur kort efter, at sikkerhedshuller bliver offentlige. Dets fortsatte vækst viser, at det at forstyrre individuelle klynger eller noder ikke nødvendigvis eliminerer den underliggende kapacitet.

    JDY's transformation fra et understøttende element i KV-botnettet til en uafhængig, højtydende rekognosceringsplatform fremhæver moderne cybertrusselsøkosystemers vedholdenhed og tilpasningsevne. Selv efter nedlukningsforsøg fortsætter infrastrukturen med at udvikle sig og giver modstandere brugbar målrettet information, ofte inden for få timer efter en ny sårbarhedsafsløring.

    Trending

    Mest sete

    Indlæser...