Ponuda s popustom na više licenci
Baza prijetnji Botneti JDY Botnet

JDY Botnet

Do Mezo. Botneti, Napredna trajna prijetnja (APT). godine
Prevedi na:

Istraživači kibernetičke sigurnosti identificirali su značajan ponovni porast i širenje JDY-a, tajne mreže povezane s kineskim saveznicima i državnim sponzorima. Izvorno otkriven u prosincu 2023. kao klaster unutar veće infrastrukture KV-botneta, JDY se razvio u neovisnu, vrlo učinkovitu izviđačku platformu.

Mreža se sastoji od više od 1500 kompromitiranih uređaja za male urede/kućne urede (SOHO) i Internet stvari (IoT). Umjesto da se prvenstveno koristi za izravne napade, JDY funkcionira kao centralno upravljani, visokoučinkoviti sustav skeniranja sposoban za otkrivanje, otiske prstiju i kontinuirano mapiranje usluga izloženih internetu u velikim razmjerima.

Kineske prijeteće skupine, uključujući Volt Typhoon, prethodno su koristile mrežu za podršku prikupljanju obavještajnih podataka i naporima za identifikaciju ciljeva.

Adaptacija nakon uklanjanja KV-Botneta

Nakon što je američka vlada početkom 2024. godine demontirala KV-botnet, operateri JDY-a su promijenili svoje operativno ponašanje. Dok je sekundarni KV klaster uglavnom nestao, JDY se nastavio razvijati i širiti. Istraživači vjeruju da se infrastruktura može dijeliti s više kineskih hakerskih skupina, a istovremeno je izravno koriste njezini operateri za izviđačke aktivnosti.

Nedavne istrage otkrivaju da zlonamjerni softver sada cilja mnogo širi raspon uređaja i služi kao sloj prikupljanja podataka unutar većeg ekosustava skeniranja. Strukturirane izviđačke informacije koje prikuplja JDY unose se u sustave koji olakšavaju odabir ciljeva i naknadne aktivnosti iskorištavanja.

Posebno je zabrinjavajuća uloga JDY-a u brzom identificiranju ranjivih sustava nakon javnih objava ranjivosti. Ovakvo ponašanje sugerira postojanje visoko organizirane izviđačke operacije čije nalaze kasnije koriste kineski nacionalni državni akteri.

Brzi rast i globalna ekspanzija

Botnet je doživio značajan rast, povećavši se s otprilike 650 zaraženih uređaja u siječnju 2024. na više od 1500 kompromitiranih sustava. Većina zaraženih čvorova nalazi se u Sjedinjenim Državama i Brazilu, s dodatnim koncentracijama diljem Europe i Azije. Rastući broj brazilskih uređaja odražava širi trend u kojem se botneti sve više oslanjaju na kompromitirane sustave u Brazilu.

JDY-jev ekosustav uređaja također je postao znatno raznolikiji. Dok su se ranije verzije prvenstveno oslanjale na Cisco RV320 i RV325 usmjerivače, trenutna mreža uključuje hardver više dobavljača:

  • Cisco
  • Araknis
  • Mimosa Networks
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

Ova raznolikost jača otpornost mreže i proširuje njezin operativni doseg.

Uklapanje u legitimni internetski promet

Značajan dio JDY-jeve infrastrukture sastoji se od SOHO i IoT uređaja sa sjedištem u SAD-u. Ova distribucija omogućuje operaterima da zaobiđu mnoge tradicionalne sigurnosne kontrole, uključujući ograničenja geofencinga, filtriranje IP reputacije i statičke liste blokiranih.

Širenjem izviđačkih aktivnosti na tisuće kompromitiranih IP adresa, operateri smanjuju vjerojatnost da će bilo koji pojedinačni sustav biti identificiran i blokiran kao izvor skeniranja. Nadalje, korištenje legitimnih uređaja potrošača i malih poduzeća omogućuje zlonamjernom prometu prirodnije stapanje s uobičajenim internetskim aktivnostima, što otkrivanje znatno otežava.

Slojevita infrastruktura dizajnirana za prikrivenost

JDY djeluje putem sofisticirane, slojevite arhitekture. Akteri prijetnji koriste Tor čvorove za upravljanje infrastrukturom zapovijedanja i kontrole (C2) i poslužiteljima za isporuku korisnog tereta, pomažući u prikrivanju operativnih aktivnosti.

Umjesto provođenja neselektivnih skeniranja cijelog interneta, C2 serveri dodjeljuju ciljane zadatke izviđanja i profiliranja zaraženim uređajima. Prikupljeni obavještajni podaci prenose se natrag na centralizirane servere, gdje se agregiraju i analiziraju kako bi podržali šire kineske kibernetičke operacije i strateške ciljeve.

Iskorištavanje novootkrivenih ranjivosti

Lanci napada povezani s JDY-om često koriste novo objavljene ranjivosti na rubnim uređajima kao oružje, uključujući ranjivosti poput CVE-2026-35616. Uspješno iskorištavanje pokreće isporuku shell-script droppera koji prvo provjerava je li zlonamjerni softver već prisutan na ciljnom sustavu.

Ako se ne otkrije aktivna infekcija, dropper dohvaća odgovarajući zlonamjerni softver na temelju arhitekture procesora žrtve, uključujući varijante za MIPS, MIPS64, MIPSEL i MIPSEL64 sustave. Nakon izvršenja, preuzeti zlonamjerni softver se uklanja s diska kako bi se smanjila forenzička vidljivost.

Napredne mogućnosti izviđanja i adaptivnog skeniranja

Primarna svrha zlonamjernog softvera je prikupljanje obavještajnih podataka, a ne izravno iskorištavanje. Nakon što je aktivan, on uzima otiske kompromitiranog hosta, prima zadatke skeniranja od središnje komandne infrastrukture, provodi opsežno mrežno ispitivanje, prikuplja podatke o odgovorima kao što su TLS certifikati i metapodaci usluga te izvještava o nalazima natrag poslužiteljima za otpremu.

Njegov mehanizam za skeniranje je vrlo prilagodljiv i prilagođava svoje ponašanje prema privilegijama dostupnim na zaraženom uređaju:

Kada je dostupan pristup na root razini, zlonamjerni softver otvara sirove utičnice i izvodi brzo SYN skeniranje koristeći prilagođene TCP pakete.
Kada povišene privilegije nisu dostupne ili kada je potrebno web-bazirano izviđanje, oslanja se na standardne TCP i TLS veze, a može koristiti i tehnike sondiranja temeljene na UDP-u i ICMP-u.

Ova fleksibilnost omogućuje JDY-ju da maksimizira učinkovitost izviđanja u širokom rasponu kompromitiranih sustava.

Stalna izviđačka sposobnost za kineske prijetnje

Istraživači vjeruju da obavještajni podaci prikupljeni putem JDY-a podržavaju operacije otkrivanja imovine, tijekove rada usmjerene na ranjivosti i platforme za nizvodno iskorištavanje ili orkestraciju napada.

Botnet ilustrira kako se moderne mreže IoT i SOHO uređaja sve više transformiraju u platforme za brzo reagiranje i izviđanje sposobne identificirati ranjivu infrastrukturu ubrzo nakon što sigurnosni propusti postanu javni. Njegov kontinuirani rast pokazuje da ometanje pojedinačnih klastera ili čvorova ne mora nužno eliminirati temeljnu sposobnost.

JDY-jeva transformacija iz potpornog elementa KV-botneta u neovisnu, visokoučinkovitu izviđačku platformu naglašava upornost i prilagodljivost modernih ekosustava kibernetičkih prijetnji. Čak i nakon napora za njihovo uklanjanje, infrastruktura se nastavlja razvijati, pružajući protivnicima obavještajne podatke o ciljanju koji se mogu primijeniti, često unutar nekoliko sati od otkrivanja nove ranjivosti.

U trendu

Sigurnosno ažuriranje za prepoznavanje pouzdanih...

Krađa identiteta, Spam
Neočekivane e-poruke koje zahtijevaju hitnu akciju uvijek treba tretirati s oprezom, posebno kada uključuju upozorenja o sigurnosti računa ili zahtjeve za provjeru osobnih podataka. Kibernetički kriminalci često prikrivaju phishing poruke kao službene obavijesti kako bi manipulirali primateljima da otkriju osjetljive podatke. E-poruke 'Sigurnosno ažuriranje za prepoznavanje pouzdanih uređaja i...

Nagledanije

Učitavam...