Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Botnetai JDY botnetas

JDY botnetas

Autorius Mezo, Botnetai, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Kibernetinio saugumo tyrėjai nustatė reikšmingą JDY, slapto tinklo, susijusio su Kinijos remiamais valstybės remiamais grėsmės subjektais, atgimimą ir plėtrą. Iš pradžių 2023 m. gruodžio mėn. aptiktas kaip didesnės KV botnetų infrastruktūros klasteris, JDY išsivystė į nepriklausomą, labai efektyvią žvalgybos platformą.

Tinklą sudaro daugiau nei 1500 pažeistų mažų biurų / namų biurų (SOHO) ir daiktų interneto (IoT) įrenginių. Užuot daugiausia naudojamas tiesioginėms atakoms, JDY veikia kaip centralizuotai valdoma, naši nuskaitymo sistema, galinti aptikti, nuskaityti pirštų atspaudus ir nuolat kartografuoti internete pažeidžiamas paslaugas dideliu mastu.

Kinijos grėsmės grupuotės, įskaitant „Volt Typhoon“, anksčiau naudojosi tinklu žvalgybos informacijai rinkti ir taikiniams identifikuoti.

Adaptacija po KV-Botnet išardymo

Po to, kai JAV vyriausybė 2024 m. pradžioje išardė KV botnetą, JDY operatoriai pakeitė savo veiklos elgseną. Nors antrinis KV klasteris iš esmės išnyko, JDY toliau vystėsi ir plėtėsi. Tyrėjai mano, kad infrastruktūra gali būti dalijamasi su keliomis Kinijos įsilaužėlių grupuotėmis, o jos operatoriai gali ją tiesiogiai naudoti žvalgybos veiklai.

Naujausi tyrimai rodo, kad kenkėjiška programa dabar taikosi į daug platesnį įrenginių ratą ir tarnauja kaip duomenų rinkimo sluoksnis didesnėje nuskaitymo ekosistemoje. JDY surinkta struktūrizuota žvalgybos informacija tiekiama į sistemas, kurios palengvina taikinių atranką ir vėlesnę išnaudojimo veiklą.

Ypač nerimą kelia JDY vaidmuo greitai identifikuojant pažeidžiamas sistemas po viešų pažeidžiamumų atskleidimų. Toks elgesys rodo, kad egzistuoja labai organizuota žvalgybos operacija, kurios išvadas vėliau panaudoja Kinijos nacionalinių valstybių veikėjai.

Spartus augimas ir pasaulinė plėtra

Botneto skaičius smarkiai išaugo – nuo maždaug 650 užkrėstų įrenginių 2024 m. sausio mėn. iki daugiau nei 1500 pažeistų sistemų. Dauguma užkrėstų mazgų yra Jungtinėse Amerikos Valstijose ir Brazilijoje, o papildomos koncentracijos yra Europoje ir Azijoje. Augantis Brazilijos įrenginių skaičius atspindi platesnę tendenciją, kai botnetai vis labiau pasikliauja pažeistomis sistemomis Brazilijoje.

JDY įrenginių ekosistema taip pat tapo gerokai įvairesnė. Nors ankstesnės versijos daugiausia rėmėsi „Cisco RV320“ ir „RV325“ maršrutizatoriais, dabartiniame tinkle yra įvairių tiekėjų įranga:

  • Cisco
  • Araknis
  • Mimosa tinklai
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

Ši įvairovė stiprina tinklo atsparumą ir plečia jo veiklos aprėptį.

Įsiliejimas į teisėtą interneto srautą

Reikšmingą JDY infrastruktūros dalį sudaro JAV esantys SOHO ir daiktų interneto įrenginiai. Šis paskirstymas leidžia operatoriams apeiti daugelį tradicinių saugumo kontrolės priemonių, įskaitant geografinio ribojimo apribojimus, IP reputacijos filtravimą ir statinius blokavimo sąrašus.

Paskirstydami žvalgybinę veiklą tūkstančiuose pažeistų IP adresų, operatoriai sumažina tikimybę, kad kuri nors sistema bus identifikuota ir užblokuota kaip nuskaitymo šaltinis. Be to, teisėtų vartotojų ir smulkaus verslo įrenginių naudojimas leidžia kenkėjiškam srautui natūraliau susilieti su įprasta interneto veikla, todėl aptikimą gerokai apsunkina.

Sluoksniuota infrastruktūra, sukurta slaptam veikimui

JDY veikia naudodamas sudėtingą, sluoksniuotą architektūrą. Grėsmių veikėjai naudoja „Tor“ mazgus, kad valdytų tiek komandų ir kontrolės (C2) infrastruktūrą, tiek naudingosios apkrovos pristatymo serverius, padėdami nuslėpti operacinę veiklą.

Užuot atlikę beatodairišką viso interneto nuskaitymą, C2 serveriai skiria tikslines žvalgybos ir profiliavimo užduotis užkrėstiems įrenginiams. Surinkta žvalgybos informacija perduodama atgal į centralizuotus serverius, kur ji yra apibendrinama ir analizuojama, siekiant paremti platesnio masto Kinijos kibernetines operacijas ir strateginius tikslus.

Naujai atskleistų pažeidžiamumų išnaudojimas

Su JDY susijusios atakų grandinės dažnai paverčiamos naujai paskelbtomis periferinių įrenginių pažeidžiamybėmis, įskaitant tokias pažeidžiamybes kaip CVE-2026-35616. Sėkmingas spragų išnaudojimas suaktyvina scenarijų išmetimo programą, kuri pirmiausia patikrina, ar kenkėjiška programa jau yra tikslinėje sistemoje.

Jei neaptinkama aktyvios infekcijos, įskiepis nuskaito atitinkamą kenkėjiškos programos paketą, pagrįstą aukos procesoriaus architektūra, įskaitant MIPS, MIPS64, MIPSEL ir MIPSEL64 sistemų variantus. Paleidus, atsisiųsta kenkėjiška programa pašalinama iš disko, kad sumažėtų jos matomumas.

Pažangios žvalgybos ir adaptyvaus skenavimo galimybės

Pagrindinis kenkėjiškos programos tikslas – rinkti žvalgybos duomenis, o ne tiesiogiai išnaudoti spragas. Kai ji tampa aktyvi, ji nuskaito pažeisto kompiuterio pirštų atspaudus, gauna nuskaitymo užduotis iš centrinės komandų infrastruktūros, atlieka didelio masto tinklo zondavimą, renka atsakymo duomenis, tokius kaip TLS sertifikatai ir paslaugų metaduomenys, ir praneša išvadas dispečeriniams serveriams.

Jo nuskaitymo variklis yra labai prisitaikantis ir pritaiko savo elgseną pagal užkrėstame įrenginyje turimas teises:

Kai pasiekiama šakninio lygio prieiga, kenkėjiška programa atidaro neapdorotus lizdus ir atlieka didelės spartos SYN nuskaitymą naudodama specialiai sukurtus TCP paketus.
Kai padidintos privilegijos nepasiekiamos arba kai reikalinga žiniatinklio žvalgyba, sistema naudoja standartinius TCP ir TLS ryšius, taip pat gali naudoti UDP ir ICMP pagrindu veikiančius zondavimo metodus.

Šis lankstumas leidžia JDY maksimaliai padidinti žvalgybos efektyvumą įvairiose pažeistose sistemose.

Nuolatinės žvalgybos galimybės Kinijos grėsmės veikėjams

Tyrėjai mano, kad per JDY surinkta žvalgybos informacija palaiko turto paieškos operacijas, pažeidžiamumų taikymo darbo eigas ir tolesnio išnaudojimo ar atakų orkestravimo platformas.

Šis botnetas iliustruoja, kaip šiuolaikiniai daiktų interneto ir SOHO įrenginių tinklai vis dažniau transformuojami į greitojo reagavimo žvalgybos platformas, galinčias nustatyti pažeidžiamą infrastruktūrą netrukus po to, kai paviešinami saugumo trūkumai. Nuolatinis jo augimas rodo, kad atskirų klasterių ar mazgų sutrikdymas nebūtinai panaikina pagrindinį pajėgumą.

JDY transformacija iš pagalbinio KV botneto elemento į nepriklausomą, didelio našumo žvalgybos platformą pabrėžia šiuolaikinių kibernetinių grėsmių ekosistemų tvarumą ir prisitaikymą. Net ir po pašalinimo pastangų infrastruktūra toliau vystosi, teikdama priešininkams veiksmingus tikslinius duomenis, dažnai per kelias valandas nuo naujo pažeidžiamumo atskleidimo.

Tendencijos

Saugos naujinimas, skirtas atpažinti patikimus...

Sukčiavimas, Šlamštas
Į netikėtus el. laiškus, reikalaujančius skubių veiksmų, visada reikėtų žiūrėti atsargiai, ypač kai juose yra paskyros saugumo įspėjimų arba prašymų patikrinti asmeninę informaciją. Kibernetiniai nusikaltėliai dažnai maskuoja sukčiavimo pranešimus kaip oficialius pranešimus, kad manipuliuotų gavėjais ir priverstų juos atskleisti neskelbtinus duomenis. El. laiškai „Saugos naujinys, skirtas...

Labiausiai žiūrima

Įkeliama...