Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Botnetek JDY botnet

JDY botnet

Mezo -ra Botnetek, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Kiberbiztonsági kutatók a JDY, egy Kínával együttműködő, államilag támogatott fenyegető szereplőkhöz kapcsolódó titkos hálózat jelentős újjáéledését és terjeszkedését azonosították. A JDY-t eredetileg 2023 decemberében, a nagyobb KV-botnet infrastruktúrán belüli klaszterként észlelték, és mára egy független, rendkívül hatékony felderítő platformmá fejlődött.

A hálózat több mint 1500 feltört kis irodai/otthoni irodai (SOHO) és dolgok internetéhez (IoT) tartozó eszközből áll. A JDY-t nem elsősorban közvetlen támadásokra használják, hanem egy központilag felügyelt, nagy teljesítményű szkennelő rendszerként működik, amely képes nagy léptékben felderíteni, ujjlenyomatot venni és folyamatosan feltérképezni az interneten keresztül elérhető szolgáltatásokat.

Kínai fenyegető csoportok, köztük a Volt Typhoon, korábban már kihasználták a hálózatot hírszerzési információk gyűjtésére és célpontok azonosítására irányuló erőfeszítéseik támogatására.

Alkalmazkodás a KV-Botnet lerombolása után

Miután az amerikai kormány 2024 elején felszámolta a KV-botnetet, a JDY üzemeltetői módosították működési viselkedésüket. Míg egy másodlagos KV-klaszter nagyrészt eltűnt, a JDY tovább fejlődött és terjeszkedett. A kutatók úgy vélik, hogy az infrastruktúrát több kínai hackercsoporttal is megoszthatják, miközben az üzemeltetők közvetlenül is használják felderítő tevékenységekre.

A legújabb vizsgálatok kimutatták, hogy a rosszindulatú program most sokkal szélesebb eszközkört céloz meg, és adatgyűjtési rétegként szolgál egy nagyobb szkennelési ökoszisztémán belül. A JDY által gyűjtött strukturált felderítő információkat olyan rendszerekbe táplálják, amelyek megkönnyítik a célpontok kiválasztását és a későbbi kihasználási tevékenységeket.

Különösen aggasztó a JDY szerepe a sebezhető rendszerek gyors azonosításában a nyilvános sebezhetőségi bejelentéseket követően. Ez a viselkedés egy magasan szervezett felderítő művelet létezésére utal, amelynek eredményeit később kínai nemzetállami szereplők hasznosítják.

Gyors növekedés és globális terjeszkedés

A botnet jelentős növekedést mutatott, a 2024 januári körülbelül 650 fertőzött eszközről több mint 1500 feltört rendszerre nőtt. A legtöbb fertőzött csomópont az Egyesült Államokban és Brazíliában található, további koncentrációk figyelhetők meg Európában és Ázsiában. A brazil eszközök növekvő száma egy olyan szélesebb körű trendet tükröz, amelyben a botnetek egyre inkább a brazil feltört rendszerekre támaszkodnak.

A JDY eszközrendszere is jelentősen változatosabbá vált. Míg a korábbi verziók elsősorban a Cisco RV320 és RV325 routerekre támaszkodtak, a jelenlegi hálózat több gyártó hardvereit tartalmazza:

  • Cisco
  • Araknis
  • Mimosa Networks
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

    • Ez a sokszínűség erősíti a hálózat ellenálló képességét és szélesíti működési körét.

    Beleolvadás a jogos internetes forgalomba

    A JDY infrastruktúrájának jelentős részét az Egyesült Államokban működő SOHO és IoT eszközök alkotják. Ez a disztribúció lehetővé teszi az üzemeltetők számára, hogy számos hagyományos biztonsági ellenőrzést megkerüljenek, beleértve a geofencing korlátozásokat, az IP-reputáció szűrését és a statikus tiltólistákat.

    Azzal, hogy a felderítő tevékenységet több ezer feltört IP-címre terjesztik ki, az operátorok csökkentik annak valószínűségét, hogy bármelyik rendszert azonosítsák és blokkolják szkennelési forrásként. Továbbá a legitim fogyasztói és kisvállalati eszközök használata lehetővé teszi, hogy a rosszindulatú forgalom természetesebben keveredjen a szokásos internetes tevékenységgel, ami jelentősen megnehezíti a felderítést.

    Réteges infrastruktúra lopakodásra tervezve

    A JDY egy kifinomult, rétegzett architektúrán működik. A fenyegetések szereplői Tor csomópontokat használnak mind a parancsnoki és irányító (C2) infrastruktúra, mind a hasznos teher szállító szerverek kezelésére, segítve a működési tevékenységek elrejtését.

    Ahelyett, hogy válogatás nélküli, az egész internetre kiterjedő vizsgálatokat végeznének, a C2 szerverek célzott felderítési és profilalkotási feladatokat rendelnek a fertőzött eszközökhöz. A gyűjtött információkat visszaküldik a központosított szerverekre, ahol összesítik és elemzik azokat a szélesebb körű kínai kiberműveletek és stratégiai célok támogatása érdekében.

    Újonnan felfedezett sebezhetőségek kihasználása

    A JDY-hez kapcsolódó támadási láncok gyakran fegyverként használják az újonnan közzétett sebezhetőségeket a peremhálózati eszközökön, beleértve a CVE-2026-35616-hoz hasonló sebezhetőségeket is. A sikeres kihasználás egy shell-script dropper leadását indítja el, amely először ellenőrzi, hogy a rosszindulatú program már jelen van-e a célrendszeren.

    Ha nem észlel aktív fertőzést, a dropper a megfelelő kártevő-információt kéri le az áldozat processzorarchitektúrája alapján, beleértve a MIPS, MIPS64, MIPSEL és MIPSEL64 rendszerekhez készült változatokat is. A végrehajtás után a letöltött kártevő eltávolítja magát a lemezről, hogy csökkentse a forenzikus láthatóságot.

    Fejlett felderítő és adaptív szkennelési képességek

    A rosszindulatú program elsődleges célja az információgyűjtés, nem pedig a közvetlen kihasználás. Aktiválás után ujjlenyomatot vesz a feltört gazdagépről, szkennelési feladatokat kap a központi parancsinfrastruktúrától, nagyszabású hálózati vizsgálatot végez, válaszadatokat, például TLS-tanúsítványokat és szolgáltatásmetaadatokat gyűjt, és az eredményeket jelenti a diszpécserszervereknek.

    A víruskereső motorja rendkívül adaptív, és a fertőzött eszközön elérhető jogosultságokhoz igazítja viselkedését:

    Amikor root szintű hozzáférés áll rendelkezésre, a rosszindulatú program nyers socketeket nyit meg, és nagy sebességű SYN-vizsgálatot végez egyedileg létrehozott TCP-csomagok használatával.
    Amikor a megemelt jogosultságok nem érhetők el, vagy amikor web alapú felderítésre van szükség, a szabványos TCP és TLS kapcsolatokra támaszkodik, és UDP és ICMP alapú vizsgálati technikákat is alkalmazhat.

    Ez a rugalmasság lehetővé teszi a JDY számára, hogy maximalizálja a felderítés hatékonyságát a feltört rendszerek széles skáláján.

    Állandó felderítő képesség a kínai fenyegető szereplők számára

    A kutatók úgy vélik, hogy a JDY által gyűjtött információk támogatják az eszközfelderítési műveleteket, a sebezhetőség-célzási munkafolyamatokat, valamint a downstream kihasználási vagy támadás-vezérelt platformokat.

    A botnet jól szemlélteti, hogyan alakulnak át a modern IoT és SOHO eszközhálózatok egyre inkább gyors reagálású felderítő platformokká, amelyek képesek azonosítani a sebezhető infrastruktúrát röviddel azután, hogy a biztonsági hibák nyilvánosságra kerülnek. Folyamatos növekedése azt mutatja, hogy az egyes klaszterek vagy csomópontok megzavarása nem feltétlenül szünteti meg az alapul szolgáló képességet.

    A JDY átalakulása a KV-botnet támogató eleméből egy független, nagy teljesítményű felderítő platformmá rávilágít a modern kiberfenyegetések ökoszisztémáinak kitartására és alkalmazkodóképességére. Az infrastruktúra még az eltávolítási erőfeszítések után is folyamatosan fejlődik, és a támadók számára hasznos célzási információkat biztosít, gyakran egy új sebezhetőség felfedését követő órákon belül.

    Felkapott

    Biztonsági frissítés a megbízható eszközök és...

    Adathalászat, Spam
    A váratlan, sürgős beavatkozást igénylő e-maileket mindig óvatosan kell kezelni, különösen akkor, ha fiókbiztonsági figyelmeztetéseket vagy személyes adatok ellenőrzésére irányuló kéréseket tartalmaznak. A kiberbűnözők gyakran álcázzák az adathalász üzeneteket hivatalos értesítésekként, hogy manipulálják a címzetteket, és bizalmas adatokat hozzanak nyilvánosságra. A „Biztonsági frissítés a...

    Legnézettebb

    Betöltés...