הצעת הנחה מרובה רישיונות
מסד נתונים של איומים Botnets בוטנט JDY

בוטנט JDY

עד Mezo ב-Botnets, איום מתמשך מתקדם (APT)
לתרגם ל:

חוקרי אבטחת סייבר זיהו תחייה והתרחבות משמעותית של JDY, רשת חשאית המקושרת לגורמי איום בחסות מדינה הקשורים לסין. JDY, שזוהתה במקור בדצמבר 2023 כאשכול בתוך תשתית הבוטנטים הגדולה יותר של KV, התפתחה לפלטפורמת סיור עצמאית ויעילה ביותר.

הרשת מורכבת מיותר מ-1,500 מכשירי משרד קטן/ביתי (SOHO) ואינטרנט של הדברים (IoT) שנפרצו. במקום לשמש בעיקר להתקפות ישירות, JDY מתפקדת כמערכת סריקה מנוהלת באופן מרכזי ובעלת ביצועים גבוהים, המסוגלת לגלות, לאתר טביעות אצבע ולמפות באופן רציף שירותים החשופים לאינטרנט בקנה מידה גדול.

קבוצות איום סיניות, כולל וולט טייפון, מינפו בעבר את הרשת כדי לתמוך במאמצי איסוף מודיעין וזיהוי מטרות.

הסתגלות לאחר הסרת KV-Botnet

לאחר שממשלת ארה"ב פירקה את רשת הבוטנטים KV בתחילת 2024, מפעילי JDY שינו את התנהגותם המבצעית. בעוד שאשכול KV משני נעלם ברובו, JDY המשיך להתפתח ולהתרחב. חוקרים מאמינים שהתשתית עשויה להיות משותפת עם מספר קבוצות האקרים סיניות, ובמקביל משמשת ישירות את מפעיליה לפעילויות סיור.

חקירות אחרונות מגלות כי הנוזקה מכוונת כעת למגוון רחב הרבה יותר של מכשירים ומשמשת כשכבת איסוף נתונים בתוך מערכת אקולוגית סריקה גדולה יותר. מידע סיור מובנה שנאסף על ידי JDY מוזן למערכות המאפשרות בחירת מטרות ופעילויות ניצול לאחר מכן.

מדאיג במיוחד הוא תפקידה של JDY בזיהוי מהיר של מערכות פגיעות בעקבות גילוי פגיעויות פומביות. התנהגות זו מרמזת על קיומו של מבצע סיור מאורגן ביותר, שממצאיו משמשים מאוחר יותר גורמים במדינות הלאום הסיניות.

צמיחה מהירה והתרחבות עולמית

רשת הבוטים חוותה צמיחה משמעותית, מכ-650 מכשירים נגועים בינואר 2024 ליותר מ-1,500 מערכות פגועות. רוב הצמתים הנגועים ממוקמים בארצות הברית ובברזיל, עם ריכוזים נוספים ברחבי אירופה ואסיה. המספר הגדל של מכשירים ברזילאים משקף מגמה רחבה יותר שבה רשתות בוט מסתמכות יותר ויותר על מערכות פגועות בברזיל.

גם המערכת האקולוגית של המכשירים של JDY הפכה מגוונת הרבה יותר. בעוד שגרסאות קודמות הסתמכו בעיקר על נתבים של Cisco RV320 ו-RV325, הרשת הנוכחית כוללת חומרה ממספר ספקים:

  • סיסקו
  • ארקניס
  • מימוזה נטוורקס
  • יוביקוויטי
  • דרייטק
  • היקוויז'ן
  • לינקסיס

    • גיוון זה מחזק את חוסנה של הרשת ומרחיב את טווח הפעילות שלה.

    השתלבות בתעבורת אינטרנט לגיטימית

    חלק משמעותי מהתשתית של JDY מורכבת ממכשירי SOHO ו-IoT שבסיסם בארה"ב. תפוצה זו מאפשרת למפעילים לעקוף בקרות אבטחה מסורתיות רבות, כולל הגבלות גיאוגרפיות, סינון מוניטין IP ורשימות חסימה סטטיות.

    על ידי פיזור פעילות סיור על פני אלפי כתובות IP שנפרצו, המפעילים מפחיתים את הסבירות שמערכת בודדת תזוהה ותיחסם כמקור סריקה. יתר על כן, השימוש במכשירים לגיטימיים של צרכנים ועסקים קטנים מאפשר לתעבורה זדונית להשתלב באופן טבעי יותר עם פעילות אינטרנט רגילה, מה שמקשה משמעותית על הגילוי.

    תשתית שכבתית שתוכננה לחמקנות

    JDY פועל באמצעות ארכיטקטורה מתוחכמת ושכבתית. גורמי איום משתמשים בצמתי Tor כדי לנהל הן את תשתית הפיקוד והבקרה (C2) והן את שרתי אספקת המטענים, ובכך לסייע בהסתרת פעילות מבצעית.

    במקום לבצע סריקות אינטרנטיות ללא הבחנה, שרתי ה-C2 מקצים משימות סיור ויצירת פרופילים ממוקדות למכשירים נגועים. המודיעין שנאסף מועבר חזרה לשרתים מרכזיים, שם הוא נצבר ומנותח כדי לתמוך בפעולות סייבר סיניות רחבות יותר ובמטרות אסטרטגיות.

    ניצול פגיעויות שנחשפו לאחרונה

    שרשראות תקיפה הקשורות ל-JDY משמשות לעתים קרובות כנשק לפריצות חדשות שפורסמו במכשירי קצה, כולל פרצות כמו CVE-2026-35616. ניצול מוצלח מפעיל קוד shell-script dropper שבודק תחילה האם התוכנה הזדונית כבר קיימת במערכת היעד.

    אם לא מזוהה זיהום פעיל, ה-dropper מאחזר את מטען הנוזקה המתאים בהתבסס על ארכיטקטורת המעבד של הקורבן, כולל גרסאות עבור מערכות MIPS, MIPS64, MIPSEL ו-MIPSEL64. לאחר ההפעלה, הנוזקה שהורדה מסירה את עצמה מהדיסק כדי להפחית את הנראות הפורנזית.

    יכולות סיור וסריקה אדפטיבית מתקדמות

    המטרה העיקרית של הנוזקה היא איסוף מודיעין ולא ניצול ישיר. לאחר פעילותה, היא אוספת טביעות אצבע מהמארח שנפרץ, מקבלת מטלות סריקה מתשתית הפיקוד המרכזית, מבצעת בדיקות רשת בקנה מידה גדול, אוספת נתוני תגובה כגון אישורי TLS ומטא-דאטה של שירות, ומדווחת על ממצאים לשרתי השיגור.

    מנוע הסריקה שלו אדפטיבי מאוד ומתאים את התנהגותו בהתאם להרשאות הזמינות במכשיר הנגוע:

    כאשר גישה ברמת ה-root זמינה, הנוזקה פותחת שקעים גולמיים ומבצעת סריקת SYN במהירות גבוהה באמצעות חבילות TCP מותאמות אישית.
    כאשר הרשאות מוגברות אינן זמינות, או כאשר נדרש סיור מבוסס אינטרנט, הוא מסתמך על חיבורי TCP ו-TLS סטנדרטיים ויכול גם להשתמש בטכניקות בדיקה מבוססות UDP ו-ICMP.

    גמישות זו מאפשרת ל-JDY למקסם את יעילות הסיור במגוון רחב של מערכות פגועות.

    יכולת סיור מתמשכת עבור גורמי איום סינים

    חוקרים מאמינים שהמודיעין שנאסף באמצעות JDY תומך בפעולות גילוי נכסים, זרימות עבודה המכוונות לפגיעויות ופלטפורמות ניצול או תזמור התקפות במורד הזרם.

    רשת הבוטים ממחישה כיצד רשתות מודרניות של מכשירי IoT ו-SOHO הופכות יותר ויותר לפלטפורמות סיור בעלות תגובה מהירה, המסוגלות לזהות תשתיות פגיעות זמן קצר לאחר שפגמי אבטחה מתפרסמים. הצמיחה המתמשכת שלה מדגימה כי שיבוש אשכולות או צמתים בודדים אינו בהכרח מבטל את היכולת הבסיסית.

    השינוי של JDY מאלמנט תומך של רשת הבוטים KV לפלטפורמת סיור עצמאית ובעלת ביצועים גבוהים מדגיש את ההתמדה והסתגלות של מערכות אקולוגיות מודרניות של איומי סייבר. גם לאחר מאמצי החיסול, התשתית ממשיכה להתפתח, ומספקת ליריבים מודיעין מיקוד בר-פעולה, לעתים קרובות תוך שעות ספורות מגילוי פגיעות חדשה.

    מגמות

    עדכון אבטחה לזיהוי הונאות דוא"ל של מכשירים ומיקומים...

    פישינג, ספאם
    יש להתייחס בזהירות לאימיילים בלתי צפויים הדורשים פעולה דחופה, במיוחד כאשר הם כוללים אזהרות אבטחה של החשבון או בקשות לאימות מידע אישי. פושעי סייבר מסווים לעתים קרובות הודעות פישינג כהודעות רשמיות כדי לתמרן את הנמענים לחשוף מידע רגיש. האימיילים "עדכון אבטחה לזיהוי מכשירים ומיקומים מהימנים" הם חלק מקמפיין הונאה כזה ואינם קשורים לחברות, ארגונים או ספקי שירותי דוא"ל לגיטימיים. הודעת אבטחה הונאה...

    הכי נצפה

    טוען...