Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Rețele bot Botnet-ul JDY

Botnet-ul JDY

Până în Mezo în Rețele bot, Amenințare persistentă avansată (APT)
Tradu in:

Cercetătorii în domeniul securității cibernetice au identificat o renaștere și o expansiune semnificativă a JDY, o rețea secretă legată de actori amenințători sponsorizați de stat, aliniați cu China. Detectată inițial în decembrie 2023 ca un cluster în cadrul infrastructurii mai ample a botnet-ului KV, JDY a evoluat într-o platformă de recunoaștere independentă și extrem de eficientă.

Rețeaua este formată din peste 1.500 de dispozitive compromise de tip Small Office/Home Office (SOHO) și Internet of Things (IoT). În loc să fie utilizat în principal pentru atacuri directe, JDY funcționează ca un sistem de scanare de înaltă performanță, gestionat centralizat, capabil să descopere, să amprenteze și să cartografieze continuu serviciile expuse la internet la scară largă.

Grupurile de amenințare chineze, inclusiv Volt Typhoon, au folosit anterior rețeaua pentru a sprijini colectarea de informații și eforturile de identificare a țintelor.

Adaptare după eliminarea KV-Botnet

După ce guvernul SUA a dezmembrat botnet-ul KV la începutul anului 2024, operatorii JDY și-au modificat comportamentul operațional. În timp ce un cluster KV secundar a dispărut în mare parte, JDY a continuat să evolueze și să se extindă. Cercetătorii cred că infrastructura ar putea fi partajată cu mai multe grupuri de hackeri chinezi, fiind totodată utilizată direct de operatorii săi pentru activități de recunoaștere.

Investigațiile recente arată că malware-ul vizează acum o gamă mult mai largă de dispozitive și servește ca strat de colectare a datelor în cadrul unui ecosistem de scanare mai amplu. Informațiile structurate de recunoaștere colectate de JDY sunt introduse în sisteme care facilitează selecția țintelor și activitățile ulterioare de exploatare.

Deosebit de îngrijorător este rolul JDY în identificarea rapidă a sistemelor vulnerabile în urma dezvăluirilor publice ale vulnerabilităților. Acest comportament sugerează existența unei operațiuni de recunoaștere extrem de organizate, ale cărei constatări sunt utilizate ulterior de actorii statului-națiune chinez.

Creștere rapidă și expansiune globală

Botnet-ul a cunoscut o creștere substanțială, de la aproximativ 650 de dispozitive infectate în ianuarie 2024 la peste 1.500 de sisteme compromise. Majoritatea nodurilor infectate sunt situate în Statele Unite și Brazilia, cu concentrații suplimentare în Europa și Asia. Numărul tot mai mare de dispozitive braziliene reflectă o tendință mai amplă în care botnet-urile se bazează din ce în ce mai mult pe sistemele compromise din Brazilia.

Ecosistemul de dispozitive JDY a devenit, de asemenea, considerabil mai divers. În timp ce versiunile anterioare se bazau în principal pe routerele Cisco RV320 și RV325, rețeaua actuală include hardware de la mai mulți furnizori:

  • Cisco
  • Araknis
  • Mimosa Networks
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

Această diversitate consolidează reziliența rețelei și îi lărgește aria de acoperire operațională.

Amestecarea cu traficul legitim de internet

O parte semnificativă a infrastructurii JDY este compusă din dispozitive SOHO și IoT cu sediul în SUA. Această distribuție permite operatorilor să ocolească multe controale de securitate tradiționale, inclusiv restricțiile de geofencing, filtrarea reputației IP-ului și listele de blocare statice.

Prin răspândirea activității de recunoaștere pe mii de adrese IP compromise, operatorii reduc probabilitatea ca un singur sistem să fie identificat și blocat ca sursă de scanare. În plus, utilizarea dispozitivelor legitime ale consumatorilor și întreprinderilor mici permite traficului rău intenționat să se amestece mai natural cu activitatea obișnuită de pe internet, ceea ce face detectarea semnificativ mai dificilă.

Infrastructură stratificată concepută pentru ascundere

JDY operează printr-o arhitectură sofisticată, stratificată. Actorii amenințători folosesc noduri Tor pentru a gestiona atât infrastructura de comandă și control (C2), cât și serverele de livrare a sarcinii utile, ajutând la ascunderea activității operaționale.

În loc să efectueze scanări nediscriminatorii la nivelul întregului internet, serverele C2 atribuie sarcini de recunoaștere și profilare specifice dispozitivelor infectate. Informațiile colectate sunt transmise înapoi către servere centralizate, unde sunt agregate și analizate pentru a sprijini operațiunile cibernetice mai ample și obiectivele strategice chineze.

Exploatarea vulnerabilităților recent dezvăluite

Lanțurile de atac asociate cu JDY folosesc frecvent vulnerabilități recent publicate în dispozitivele edge, inclusiv vulnerabilități precum CVE-2026-35616. Exploatarea cu succes declanșează livrarea unui dropper de script shell care verifică mai întâi dacă malware-ul este deja prezent pe sistemul țintă.

Dacă nu este detectată nicio infecție activă, dropper-ul preia conținutul necesar al malware-ului în funcție de arhitectura procesorului victimei, inclusiv variante pentru sistemele MIPS, MIPS64, MIPSEL și MIPSEL64. Odată executat, malware-ul descărcat se elimină de pe disc pentru a reduce vizibilitatea forensică.

Capacități avansate de recunoaștere și scanare adaptivă

Scopul principal al malware-ului este colectarea de informații, mai degrabă decât exploatarea directă. Odată activ, acesta amprentează gazda compromisă, primește sarcini de scanare de la infrastructura centrală de comandă, efectuează sondare a rețelei la scară largă, colectează date de răspuns, cum ar fi certificate TLS și metadate de servicii, și raportează constatările către serverele de dispecerat.

Motorul său de scanare este extrem de adaptiv și își ajustează comportamentul în funcție de privilegiile disponibile pe dispozitivul infectat:

Când este disponibil accesul la nivel de root, malware-ul deschide socket-uri brute și efectuează scanare SYN de mare viteză folosind pachete TCP personalizate.
Când privilegiile ridicate nu sunt disponibile sau când este necesară recunoașterea bazată pe web, se bazează pe conexiuni TCP și TLS standard și poate utiliza, de asemenea, tehnici de sondare bazate pe UDP și ICMP.

Această flexibilitate permite JDY să maximizeze eficiența recunoașterii pe o gamă largă de sisteme compromise.

O capacitate de recunoaștere persistentă pentru actorii amenințători chinezi

Cercetătorii cred că informațiile colectate prin JDY susțin operațiunile de descoperire a activelor, fluxurile de lucru care vizează vulnerabilitățile și platformele ulterioare de exploatare sau orchestrare a atacurilor.

Botnet-ul ilustrează modul în care rețelele moderne de dispozitive IoT și SOHO se transformă din ce în ce mai mult în platforme de recunoaștere cu răspuns rapid, capabile să identifice infrastructura vulnerabilă la scurt timp după ce vulnerabilitățile de securitate devin publice. Creșterea sa continuă demonstrează că perturbarea clusterelor sau nodurilor individuale nu elimină neapărat capacitatea subiacentă.

Transformarea JDY dintr-un element de suport al KV-botnet într-o platformă de recunoaștere independentă și de înaltă performanță evidențiază persistența și adaptabilitatea ecosistemelor moderne de amenințări cibernetice. Chiar și după eforturile de eliminare a acestora, infrastructura continuă să evolueze, oferind adversarilor informații utile privind direcționarea, adesea în câteva ore de la dezvăluirea unei noi vulnerabilități.

Trending

Cele mai văzute

Se încarcă...