Multilicenčná zľavová ponuka
Databáza hrozieb Botnety Botnet JDY

Botnet JDY

Do roku Mezo v roku Botnety, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti identifikovali výrazný návrat a expanziu JDY, tajnej siete prepojenej s čínskymi štátom sponzorovanými aktérmi hrozby. JDY, pôvodne odhalená v decembri 2023 ako klaster v rámci širšej infraštruktúry botnetu KV, sa vyvinula na nezávislú a vysoko efektívnu prieskumnú platformu.

Sieť pozostáva z viac ako 1 500 napadnutých zariadení pre malé kancelárie/domáce kancelárie (SOHO) a internet vecí (IoT). Namiesto toho, aby sa JDY používal primárne na priame útoky, funguje ako centrálne spravovaný, vysoko výkonný skenovací systém schopný objavovať, odtlačky prstov a priebežne mapovať služby vystavené internetu vo veľkom meradle.

Čínske skupiny zamerané na hrozby vrátane Volt Typhoon už predtým využívali túto sieť na podporu zhromažďovania spravodajských informácií a identifikácie cieľov.

Adaptácia po zastavení používania botnetu KV

Po tom, čo americká vláda začiatkom roka 2024 zlikvidovala botnet KV, operátori JDY upravili svoje operačné správanie. Zatiaľ čo sekundárny klaster KV do značnej miery zmizol, JDY sa naďalej vyvíjala a rozširovala. Výskumníci sa domnievajú, že infraštruktúra môže byť zdieľaná s viacerými čínskymi hackerskými skupinami a zároveň priamo využívaná jej operátormi na prieskumné aktivity.

Nedávne vyšetrovania odhalili, že malvér teraz cieli na oveľa širšiu škálu zariadení a slúži ako vrstva zberu údajov v rámci väčšieho ekosystému skenovania. Štruktúrované prieskumné informácie zhromaždené systémom JDY sa prenášajú do systémov, ktoré uľahčujú výber cieľov a následné aktivity zneužívania.

Obzvlášť znepokojujúca je úloha JDY pri rýchlej identifikácii zraniteľných systémov po zverejnení zraniteľností. Toto správanie naznačuje existenciu vysoko organizovanej prieskumnej operácie, ktorej zistenia neskôr využívajú čínski aktéri národných štátov.

Rýchly rast a globálna expanzia

Botnet zaznamenal výrazný rast, z približne 650 infikovaných zariadení v januári 2024 na viac ako 1 500 napadnutých systémov. Väčšina infikovaných uzlov sa nachádza v Spojených štátoch a Brazílii s ďalšími koncentráciami v Európe a Ázii. Rastúci počet brazílskych zariadení odráža širší trend, v ktorom sa botnety čoraz viac spoliehajú na napadnuté systémy v Brazílii.

Ekosystém zariadení JDY sa tiež stal podstatne rozmanitejším. Zatiaľ čo staršie verzie sa spoliehali predovšetkým na routery Cisco RV320 a RV325, súčasná sieť obsahuje hardvér od viacerých dodávateľov:

  • Cisco
  • Araknis
  • Mimosa Networks
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

Táto rozmanitosť posilňuje odolnosť siete a rozširuje jej operačný dosah.

Prelínanie sa s legitímnou internetovou prevádzkou

Významnú časť infraštruktúry spoločnosti JDY tvoria zariadenia SOHO a IoT so sídlom v USA. Táto distribúcia umožňuje operátorom obísť mnohé tradičné bezpečnostné kontroly vrátane obmedzení geofencingu, filtrovania reputácie IP adries a statických blokovaných zoznamov.

Rozložením prieskumnej aktivity na tisíce napadnutých IP adries operátori znižujú pravdepodobnosť, že ktorýkoľvek systém bude identifikovaný a zablokovaný ako zdroj skenovania. Okrem toho používanie legitímnych zariadení spotrebiteľov a malých podnikov umožňuje prirodzenejšie prelínanie škodlivej prevádzky s bežnou internetovou aktivitou, čo výrazne sťažuje jej odhalenie.

Vrstvená infraštruktúra navrhnutá pre nenápadnosť

JDY funguje prostredníctvom sofistikovanej, vrstvenej architektúry. Útočníci používajú uzly Tor na správu infraštruktúry velenia a riadenia (C2) a serverov na doručovanie užitočného zaťaženia, čo pomáha skryť operačnú aktivitu.

Namiesto vykonávania nerozlišujúcich celointernetových skenovaní servery C2 prideľujú infikovaným zariadeniam cielené prieskumné a profilovacie úlohy. Zhromaždené informácie sa prenášajú späť na centralizované servery, kde sa agregujú a analyzujú na podporu širších čínskych kybernetických operácií a strategických cieľov.

Zneužívanie novoodhalených zraniteľností

Útočné reťazce spojené s JDY často zneužívajú novo publikované zraniteľnosti v edge zariadeniach vrátane zraniteľností, ako je napríklad CVE-2026-35616. Úspešné zneužitie spustí doručenie shellového skriptu, ktorý najprv skontroluje, či je malvér už prítomný v cieľovom systéme.

Ak sa nezistí žiadna aktívna infekcia, dropper načíta príslušné užitočné zaťaženie malvéru na základe architektúry procesora obete vrátane variantov pre systémy MIPS, MIPS64, MIPSEL a MIPSEL64. Po spustení sa stiahnutý malvér odstráni z disku, aby sa znížila forenzná viditeľnosť.

Pokročilé prieskumné a adaptívne skenovacie schopnosti

Primárnym účelom škodlivého softvéru je zhromažďovanie spravodajských informácií, a nie priame zneužívanie. Po aktivácii zistí odtlačky napadnutého hostiteľa, prijíma skenovacie úlohy z centrálnej veliteľskej infraštruktúry, vykonáva rozsiahle sieťové sondovanie, zhromažďuje údaje o odpovediach, ako sú certifikáty TLS a metadáta služieb, a hlási zistenia späť na dispečerské servery.

Jeho skenovací engine je vysoko adaptívny a prispôsobuje svoje správanie podľa oprávnení dostupných na infikovanom zariadení:

Keď je k dispozícii prístup na úrovni root, malvér otvorí surové sockety a vykoná vysokorýchlostné SYN skenovanie pomocou špeciálne vytvorených TCP paketov.
Keď nie sú k dispozícii zvýšené privilégiá alebo keď je potrebný webový prieskum, systém sa spolieha na štandardné pripojenia TCP a TLS a môže tiež použiť techniky sondovania založené na protokoloch UDP a ICMP.

Táto flexibilita umožňuje JDY maximalizovať efektívnosť prieskumu v širokej škále ohrozených systémov.

Trvalá prieskumná schopnosť pre čínskych aktérov hrozby

Výskumníci sa domnievajú, že informácie zhromaždené prostredníctvom JDY podporujú operácie objavovania aktív, pracovné postupy zamerané na zraniteľnosti a platformy na následné zneužívanie alebo orchestráciu útokov.

Botnet ilustruje, ako sa moderné siete zariadení IoT a SOHO čoraz viac transformujú na platformy rýchlej reakcie a prieskumu schopné identifikovať zraniteľnú infraštruktúru krátko po tom, ako sa bezpečnostné chyby stanú verejne dostupnými. Jeho neustály rast dokazuje, že narušenie jednotlivých klastrov alebo uzlov nemusí nevyhnutne eliminovať základnú schopnosť.

Transformácia JDY z podporného prvku KV-botnetu na nezávislú, vysoko výkonnú prieskumnú platformu zdôrazňuje pretrvávajúcosť a prispôsobivosť moderných ekosystémov kybernetických hrozieb. Aj po snahách o ich odstránenie sa infraštruktúra neustále vyvíja a poskytuje protivníkom akčné informácie o zameraní, často v priebehu niekoľkých hodín od odhalenia novej zraniteľnosti.

Trendy

Aktualizácia zabezpečenia na rozpoznávanie...

Phishing, Spam
Neočakávané e-maily, ktoré vyžadujú urgentný zásah, by sa mali vždy brať opatrne, najmä ak obsahujú upozornenia týkajúce sa zabezpečenia účtu alebo žiadosti o overenie osobných údajov. Kyberzločinci často maskujú phishingové správy ako oficiálne oznámenia, aby manipulovali s príjemcami a prinútili ich prezradiť citlivé údaje. E-maily s názvom „Aktualizácia zabezpečenia na rozpoznávanie...

Najviac videné

Načítava...