Rabatttilbud for flere lisenser
Trusseldatabase Botnett JDY Botnett

JDY Botnett

Med Mezo i Botnett, Advanced Persistent Threat (APT)
Oversett til:

Forskere innen nettsikkerhet har identifisert en betydelig gjenoppblomstring og ekspansjon av JDY, et hemmelig nettverk knyttet til Kina-tilknyttede, statsstøttede trusselaktører. JDY ble opprinnelig oppdaget i desember 2023 som en klynge innenfor den større KV-botnet-infrastrukturen, og har utviklet seg til en uavhengig og svært effektiv rekognoseringsplattform.

Nettverket består av mer enn 1500 kompromitterte småkontor-/hjemmekontor- (SOHO) og tingenes internett (IoT)-enheter. I stedet for primært å brukes til direkte angrep, fungerer JDY som et sentralt administrert, høytytende skannesystem som er i stand til å oppdage, fingeravtrykke og kontinuerlig kartlegge internett-eksponerte tjenester i stor skala.

Kinesiske trusselgrupper, inkludert Volt Typhoon, har tidligere utnyttet nettverket til å støtte etterretningsinnsamling og målidentifisering.

Tilpasning etter KV-Botnet-fjerningen

Etter at den amerikanske regjeringen demonterte KV-botnettet tidlig i 2024, endret JDY-operatørene sin operative oppførsel. Mens en sekundær KV-klynge i stor grad forsvant, fortsatte JDY å utvikle seg og ekspandere. Forskere tror at infrastrukturen kan deles med flere kinesiske hackergrupper, samtidig som den brukes direkte av operatørene til rekognoseringsaktiviteter.

Nyere undersøkelser viser at skadevaren nå retter seg mot et mye bredere spekter av enheter og fungerer som et datainnsamlingslag i et større skanneøkosystem. Strukturert rekognoseringsinformasjon samlet inn av JDY mates inn i systemer som forenkler målvalg og påfølgende utnyttelsesaktiviteter.

Spesielt bekymringsfullt er JDYs rolle i rask identifisering av sårbare systemer etter offentlige avsløringer om sårbarheter. Denne oppførselen tyder på eksistensen av en svært organisert rekognoseringsoperasjon hvis funn senere brukes av kinesiske nasjonalstatsaktører.

Rask vekst og global ekspansjon

Botnettet har opplevd betydelig vekst, og har økt fra omtrent 650 infiserte enheter i januar 2024 til mer enn 1500 kompromitterte systemer. De fleste infiserte nodene befinner seg i USA og Brasil, med ytterligere konsentrasjoner i Europa og Asia. Det økende antallet brasilianske enheter gjenspeiler en bredere trend der botnett i økende grad er avhengige av kompromitterte systemer i Brasil.

JDYs enhetsøkosystem har også blitt betydelig mer mangfoldig. Mens tidligere versjoner primært var avhengige av Cisco RV320- og RV325-rutere, inkluderer det nåværende nettverket maskinvare fra flere leverandører:

  • Cisco
  • Araknis
  • Mimosa-nettverk
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

Dette mangfoldet styrker nettverkets robusthet og utvider dets operative rekkevidde.

Blander seg inn i legitim internettrafikk

En betydelig del av JDYs infrastruktur består av USA-baserte SOHO- og IoT-enheter. Denne distribusjonen gjør det mulig for operatører å omgå mange tradisjonelle sikkerhetskontroller, inkludert geofencing-restriksjoner, IP-omdømmefiltrering og statiske blokkeringslister.

Ved å spre rekognoseringsaktivitet på tvers av tusenvis av kompromitterte IP-adresser, reduserer operatørene sannsynligheten for at et enkelt system blir identifisert og blokkert som en skannekilde. Videre tillater bruken av legitime forbruker- og småbedriftsenheter at ondsinnet trafikk blander seg mer naturlig med vanlig internettaktivitet, noe som gjør deteksjon betydelig vanskeligere.

Lagdelt infrastruktur designet for stealth

JDY opererer gjennom en sofistikert, lagdelt arkitektur. Trusselaktører bruker Tor-noder til å administrere både kommando-og-kontroll (C2)-infrastruktur og nyttelastleveringsservere, noe som bidrar til å skjule operasjonell aktivitet.

I stedet for å utføre vilkårlige skanninger over hele internett, tildeler C2-serverne målrettede rekognoserings- og profileringsoppgaver til infiserte enheter. Den innsamlede etterretningen overføres tilbake til sentraliserte servere, hvor den aggregeres og analyseres for å støtte bredere kinesiske cyberoperasjoner og strategiske mål.

Utnyttelse av nylig avslørte sårbarheter

Angrepskjeder knyttet til JDY utnytter ofte nylig publiserte sårbarheter i kantenheter som våpen, inkludert sårbarheter som CVE-2026-35616. Vellykket utnyttelse utløser levering av en shell-script dropper som først sjekker om skadevaren allerede er tilstede på målsystemet.

Hvis ingen aktiv infeksjon oppdages, henter dropperen riktig nyttelast for skadelig programvare basert på offerets prosessorarkitektur, inkludert varianter for MIPS-, MIPS64-, MIPSEL- og MIPSEL64-systemer. Når den er kjørt, fjerner den nedlastede skadelige programvaren seg selv fra disken for å redusere den rettsmedisinske synligheten.

Avanserte rekognoserings- og adaptive skannemuligheter

Hovedformålet med skadevaren er innsamling av etterretning snarere enn direkte utnyttelse. Når den er aktiv, tar den fingeravtrykk av den kompromitterte verten, mottar skanneoppdrag fra den sentrale kommandoinfrastrukturen, utfører storskala nettverksundersøkelser, samler inn responsdata som TLS-sertifikater og tjenestemetadata, og rapporterer funn tilbake til utsendelsesserverne.

Skannemotoren er svært tilpasningsdyktig og justerer oppførselen i henhold til rettighetene som er tilgjengelige på den infiserte enheten:

Når rotnivåtilgang er tilgjengelig, åpner skadevaren rå sokkeler og utfører høyhastighets SYN-skanning ved hjelp av spesiallagde TCP-pakker.
Når utvidede rettigheter ikke er tilgjengelige, eller når nettbasert rekognosering er nødvendig, er den avhengig av standard TCP- og TLS-tilkoblinger og kan også bruke UDP- og ICMP-baserte probeteknikker.

Denne fleksibiliteten lar JDY maksimere rekognoseringseffektiviteten på tvers av et bredt spekter av kompromitterte systemer.

En vedvarende rekognoseringskapasitet for kinesiske trusselaktører

Forskerne mener at etterretningen som er samlet inn gjennom JDY støtter operasjoner for å oppdage eiendeler, arbeidsflyter for å målrette sårbarheter og nedstrøms utnyttelses- eller angrepsorkestreringsplattformer.

Botnettet illustrerer hvordan moderne IoT- og SOHO-enhetsnettverk i økende grad blir omdannet til raskrespons-rekognoseringsplattformer som er i stand til å identifisere sårbar infrastruktur kort tid etter at sikkerhetsfeil blir offentlige. Den fortsatte veksten viser at det å forstyrre individuelle klynger eller noder ikke nødvendigvis eliminerer den underliggende kapasiteten.

JDYs transformasjon fra et støttende element i KV-botnettet til en uavhengig, høytytende rekognoseringsplattform fremhever utholdenheten og tilpasningsevnen til moderne cybertrusseløkosystemer. Selv etter nedstengningsarbeid fortsetter infrastrukturen å utvikle seg, og gir motstandere handlingsrettet målrettet informasjon, ofte innen timer etter at en ny sårbarhet er avslørt.

Trender

Mest sett

Laster inn...