Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Botnet Botnet JDY

Botnet JDY

Menjelang Mezo pada Botnet, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Penyelidik keselamatan siber telah mengenal pasti kebangkitan semula dan pengembangan JDY yang ketara, rangkaian rahsia yang dikaitkan dengan pelaku ancaman tajaan negara yang sejajar dengan China. Pada asalnya dikesan pada Disember 2023 sebagai kelompok dalam infrastruktur KV-botnet yang lebih besar, JDY telah berkembang menjadi platform peninjauan bebas dan sangat berkesan.

Rangkaian ini terdiri daripada lebih 1,500 peranti Pejabat Kecil/Pejabat Rumah (SOHO) dan Internet of Things (IoT) yang diceroboh. Daripada digunakan terutamanya untuk serangan langsung, JDY berfungsi sebagai sistem pengimbasan berprestasi tinggi yang diuruskan secara berpusat yang mampu menemui, mengambil cap jari dan memetakan perkhidmatan yang terdedah kepada internet secara berterusan pada skala besar.

Kumpulan ancaman China, termasuk Volt Typhoon, sebelum ini telah memanfaatkan rangkaian tersebut untuk menyokong pengumpulan risikan dan usaha pengenalpastian sasaran.

Adaptasi Berikutan Penyingkiran KV-Botnet

Selepas kerajaan AS melupuskan botnet KV pada awal tahun 2024, pengendali JDY telah mengubah suai tingkah laku operasi mereka. Walaupun kluster KV sekunder sebahagian besarnya hilang, JDY terus berkembang dan berkembang. Penyelidik percaya infrastruktur tersebut mungkin dikongsi dengan pelbagai kumpulan penggodam China di samping digunakan secara langsung oleh pengendalinya untuk aktiviti peninjauan.

Siasatan terbaru mendedahkan bahawa perisian hasad kini menyasarkan rangkaian peranti yang lebih luas dan berfungsi sebagai lapisan pengumpulan data dalam ekosistem pengimbasan yang lebih besar. Maklumat peninjauan berstruktur yang dikumpulkan oleh JDY dimasukkan ke dalam sistem yang memudahkan pemilihan sasaran dan aktiviti eksploitasi seterusnya.

Amat membimbangkan ialah peranan JDY dalam mengenal pasti sistem terdedah dengan pantas susulan pendedahan kerentanan awam. Tingkah laku ini menunjukkan kewujudan operasi peninjauan yang sangat teratur yang penemuannya kemudiannya digunakan oleh pelakon negara-bangsa China.

Pertumbuhan Pesat dan Pengembangan Global

Botnet telah mengalami pertumbuhan yang ketara, meningkat daripada kira-kira 650 peranti yang dijangkiti pada Januari 2024 kepada lebih 1,500 sistem yang terjejas. Kebanyakan nod yang dijangkiti terletak di Amerika Syarikat dan Brazil, dengan kepekatan tambahan di seluruh Eropah dan Asia. Bilangan peranti Brazil yang semakin meningkat mencerminkan trend yang lebih luas di mana botnet semakin bergantung pada sistem yang terjejas di Brazil.

Ekosistem peranti JDY juga telah menjadi jauh lebih pelbagai. Walaupun versi terdahulu bergantung terutamanya pada penghala Cisco RV320 dan RV325, rangkaian semasa merangkumi perkakasan daripada pelbagai vendor:

  • Cisco
  • Araknis
  • Rangkaian Mimosa
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

Kepelbagaian ini mengukuhkan daya tahan rangkaian dan meluaskan jangkauan operasinya.

Bercampur dengan Trafik Internet yang Sah

Sebahagian besar infrastruktur JDY terdiri daripada peranti SOHO dan IoT yang berpangkalan di AS. Pengedaran ini membolehkan pengendali memintas banyak kawalan keselamatan tradisional, termasuk sekatan geofencing, penapisan reputasi IP dan senarai sekatan statik.

Dengan menyebarkan aktiviti peninjauan merentasi beribu-ribu alamat IP yang dikompromi, pengendali mengurangkan kemungkinan mana-mana sistem tunggal akan dikenal pasti dan disekat sebagai sumber pengimbasan. Tambahan pula, penggunaan peranti pengguna dan perniagaan kecil yang sah membolehkan trafik berniat jahat bercampur secara semula jadi dengan aktiviti internet biasa, menjadikan pengesanan jauh lebih sukar.

Infrastruktur Berlapis Direka untuk Senyap

JDY beroperasi melalui seni bina berlapis yang canggih. Pelakon ancaman menggunakan nod Tor untuk mengurus infrastruktur Perintah dan Kawalan (C2) dan pelayan penghantaran muatan, membantu menyembunyikan aktiviti operasi.

Daripada menjalankan imbasan seluruh internet secara sembarangan, pelayan C2 menugaskan tugas peninjauan dan pemprofilan yang disasarkan kepada peranti yang dijangkiti. Risikan yang dikumpul dihantar kembali ke pelayan berpusat, di mana ia diagregatkan dan dianalisis untuk menyokong operasi siber China yang lebih luas dan objektif strategik.

Mengeksploitasi Kerentanan yang Baru Didedahkan

Rantaian serangan yang berkaitan dengan JDY kerap menjadikan kerentanan yang baru diterbitkan dalam peranti pinggir sebagai senjata, termasuk kerentanan seperti CVE-2026-35616. Eksploitasi yang berjaya mencetuskan penghantaran dropper skrip shell yang pertama kali memeriksa sama ada perisian hasad sudah ada pada sistem sasaran.

Jika tiada jangkitan aktif dikesan, penitis akan mendapatkan semula muatan perisian hasad yang sesuai berdasarkan seni bina pemproses mangsa, termasuk varian untuk sistem MIPS, MIPS64, MIPSEL dan MIPSEL64. Setelah dilaksanakan, perisian hasad yang dimuat turun akan mengalih keluar dirinya daripada cakera untuk mengurangkan keterlihatan forensik.

Keupayaan Peninjauan Lanjutan dan Pengimbasan Adaptif

Tujuan utama perisian hasad ini adalah untuk mengumpul maklumat dan bukannya mengeksploitasi secara langsung. Sebaik sahaja aktif, ia akan mengesan hos yang terjejas, menerima tugasan pengimbasan daripada infrastruktur arahan pusat, melakukan siasatan rangkaian berskala besar, mengumpul data respons seperti sijil TLS dan metadata perkhidmatan dan melaporkan penemuan kembali kepada pelayan penghantaran.

Enjin pengimbasannya sangat adaptif dan menyesuaikan kelakuannya mengikut keistimewaan yang tersedia pada peranti yang dijangkiti:

Apabila akses peringkat root tersedia, perisian hasad akan membuka soket mentah dan melakukan pengimbasan SYN berkelajuan tinggi menggunakan paket TCP yang direka khas.
Apabila keistimewaan yang tinggi tidak tersedia, atau apabila peninjauan berasaskan web diperlukan, ia bergantung pada sambungan TCP dan TLS standard dan juga boleh menggunakan teknik probing berasaskan UDP dan ICMP.

Fleksibiliti ini membolehkan JDY memaksimumkan keberkesanan peninjauan merentasi pelbagai sistem yang terjejas.

Keupayaan Peninjauan Berterusan untuk Pelakon Ancaman Cina

Para penyelidik percaya bahawa risikan yang dikumpulkan melalui JDY menyokong operasi penemuan aset, aliran kerja penyasaran kerentanan dan platform eksploitasi hiliran atau orkestrasi serangan.

Botnet menggambarkan bagaimana rangkaian peranti IoT dan SOHO moden semakin banyak diubah menjadi platform peninjauan tindak balas pantas yang mampu mengenal pasti infrastruktur terdedah sejurus selepas kelemahan keselamatan menjadi umum. Pertumbuhan berterusannya menunjukkan bahawa mengganggu kluster atau nod individu tidak semestinya menghapuskan keupayaan asas.

Transformasi JDY daripada elemen sokongan KV-botnet kepada platform peninjauan berprestasi tinggi yang bebas menonjolkan kegigihan dan kebolehsuaian ekosistem ancaman siber moden. Walaupun selepas usaha penghapusan, infrastruktur terus berkembang, menyediakan pihak lawan dengan risikan penyasaran yang boleh diambil tindakan, selalunya dalam beberapa jam selepas pendedahan kerentanan baharu.

Trending

Paling banyak dilihat

Memuatkan...