Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Botnets JDY Botnet

JDY Botnet

Nga MezoBotnets, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Studiuesit e sigurisë kibernetike kanë identifikuar një ringjallje dhe zgjerim të konsiderueshëm të JDY, një rrjet i fshehtë i lidhur me aktorë kërcënimesh të sponsorizuar nga shteti, të lidhur me Kinën. I zbuluar fillimisht në dhjetor 2023 si një grumbull brenda infrastrukturës më të madhe të botnet-it KV, JDY ka evoluar në një platformë zbulimi të pavarur dhe shumë efektive.

Rrjeti përbëhet nga më shumë se 1,500 pajisje të kompromentuara të Zyrave të Vogla/Zyrave në Shtëpi (SOHO) dhe Internetit të Gjërave (IoT). Në vend që të përdoret kryesisht për sulme të drejtpërdrejta, JDY funksionon si një sistem skanimi i menaxhuar në mënyrë qendrore dhe me performancë të lartë, i aftë të zbulojë, të marrë gjurmë gishtash dhe të hartëzojë vazhdimisht shërbimet e ekspozuara ndaj internetit në një shkallë të gjerë.

Grupet kineze të kërcënimeve, përfshirë Volt Typhoon, e kanë përdorur më parë rrjetin për të mbështetur mbledhjen e inteligjencës dhe përpjekjet për identifikimin e objektivave.

Përshtatja pas shkatërrimit të KV-Botnet

Pasi qeveria amerikane çmontoi KV-botnet në fillim të vitit 2024, operatorët e JDY ndryshuan sjelljen e tyre operative. Ndërsa një grumbull sekondar KV u zhduk kryesisht, JDY vazhdoi të evoluonte dhe të zgjerohej. Studiuesit besojnë se infrastruktura mund të ndahet me grupe të shumta kineze të hakerimit, ndërsa përdoret gjithashtu drejtpërdrejt nga operatorët e saj për aktivitete zbulimi.

Hetimet e fundit tregojnë se programi keqdashës tani synon një gamë shumë më të gjerë pajisjesh dhe shërben si një shtresë mbledhjeje të dhënash brenda një ekosistemi më të madh skanimi. Informacioni i strukturuar i zbulimit i mbledhur nga JDY futet në sisteme që lehtësojnë përzgjedhjen e objektivave dhe aktivitetet e mëvonshme të shfrytëzimit.

Veçanërisht shqetësues është roli i JDY-së në identifikimin e shpejtë të sistemeve të cenueshme pas zbulimeve publike të cenueshmërisë. Kjo sjellje sugjeron ekzistencën e një operacioni zbulimi shumë të organizuar, gjetjet e të cilit përdoren më vonë nga aktorët kinezë të shteteve kombëtare.

Rritje e Shpejtë dhe Zgjerim Global

Botneti ka përjetuar një rritje të konsiderueshme, duke u rritur nga afërsisht 650 pajisje të infektuara në janar 2024 në më shumë se 1,500 sisteme të kompromentuara. Shumica e nyjeve të infektuara ndodhen në Shtetet e Bashkuara dhe Brazil, me përqendrime shtesë në të gjithë Evropën dhe Azinë. Numri në rritje i pajisjeve braziliane pasqyron një trend më të gjerë në të cilin botnetet mbështeten gjithnjë e më shumë në sistemet e kompromentuara në Brazil.

Ekosistemi i pajisjeve të JDY është bërë gjithashtu shumë më i larmishëm. Ndërsa versionet e mëparshme mbështeteshin kryesisht në routerat Cisco RV320 dhe RV325, rrjeti aktual përfshin harduer nga shitës të shumtë:

  • Cisco
  • Araknis
  • Mimosa Networks
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

Ky diversitet forcon qëndrueshmërinë e rrjetit dhe zgjeron shtrirjen e tij operative.

Përzierja në trafikun legjitim të internetit

Një pjesë e konsiderueshme e infrastrukturës së JDY përbëhet nga pajisje SOHO dhe IoT me bazë në SHBA. Ky shpërndarje u mundëson operatorëve të anashkalojnë shumë kontrolle tradicionale të sigurisë, duke përfshirë kufizimet e gjeofencimit, filtrimin e reputacionit të IP-së dhe listat statike të bllokimit.

Duke përhapur aktivitetin e zbulimit në mijëra adresa IP të kompromentuara, operatorët zvogëlojnë mundësinë që çdo sistem i vetëm të identifikohet dhe bllokohet si burim skanimi. Për më tepër, përdorimi i pajisjeve legjitime të konsumatorëve dhe bizneseve të vogla lejon që trafiku keqdashës të përzihet më natyrshëm me aktivitetin e zakonshëm të internetit, duke e bërë zbulimin dukshëm më të vështirë.

Infrastrukturë e shtresuar e projektuar për fshehtësi

JDY operon përmes një arkitekture të sofistikuar dhe të shtresuar. Aktorët kërcënues përdorin nyjet Tor për të menaxhuar si infrastrukturën Command-and-Control (C2) ashtu edhe serverët e shpërndarjes së ngarkesës, duke ndihmuar në fshehjen e aktivitetit operativ.

Në vend që të kryejnë skanime të pakontrolluara në të gjithë internetin, serverat C2 u caktojnë pajisjeve të infektuara detyra të synuara zbulimi dhe profilizimi. Inteligjenca e mbledhur transmetohet përsëri në serverat e centralizuar, ku grumbullohet dhe analizohet për të mbështetur operacionet më të gjera kibernetike kineze dhe objektivat strategjike.

Shfrytëzimi i dobësive të zbuluara rishtazi

Zinxhirët e sulmeve të lidhura me JDY shpesh i përdorin si armë dobësitë e sapo publikuara në pajisjet edge, duke përfshirë dobësi të tilla si CVE-2026-35616. Shfrytëzimi i suksesshëm shkakton dërgimin e një dropper-i shell-script që së pari kontrollon nëse malware është tashmë i pranishëm në sistemin e synuar.

Nëse nuk zbulohet ndonjë infeksion aktiv, programi lëshues merr ngarkesën e duhur të malware-it bazuar në arkitekturën e procesorit të viktimës, duke përfshirë variantet për sistemet MIPS, MIPS64, MIPSEL dhe MIPSEL64. Pasi ekzekutohet, malware-i i shkarkuar hiqet vetë nga disku për të zvogëluar dukshmërinë forenzike.

Aftësi të Avancuara të Zbulimit dhe Skanimit Adaptiv

Qëllimi kryesor i malware-it është mbledhja e inteligjencës dhe jo shfrytëzimi i drejtpërdrejtë. Pasi të jetë aktiv, ai gjurmon hostin e kompromentuar, merr detyra skanimi nga infrastruktura qendrore e komandës, kryen hetime të rrjetit në shkallë të gjerë, mbledh të dhëna përgjigjeje siç janë certifikatat TLS dhe metadatat e shërbimit, dhe raporton gjetjet përsëri te serverët e dërgimit.

Motori i tij i skanimit është shumë adaptiv dhe e rregullon sjelljen e tij sipas privilegjeve të disponueshme në pajisjen e infektuar:

Kur qasja në nivel root është e disponueshme, malware hap socket-et e papërpunuara dhe kryen skanim SYN me shpejtësi të lartë duke përdorur paketa TCP të krijuara me porosi.
Kur privilegjet e larta nuk janë të disponueshme, ose kur kërkohet zbulim i bazuar në internet, ai mbështetet në lidhjet standarde TCP dhe TLS dhe gjithashtu mund të përdorë teknika hetimi të bazuara në UDP dhe ICMP.

Ky fleksibilitet i lejon JDY-së të maksimizojë efektivitetin e zbulimit në një gamë të gjerë sistemesh të kompromentuara.

Një aftësi e vazhdueshme zbulimi për aktorët kinezë kërcënues

Studiuesit besojnë se inteligjenca e mbledhur përmes JDY mbështet operacionet e zbulimit të aseteve, rrjedhat e punës që synojnë dobësitë dhe platformat e shfrytëzimit ose orkestrimit të sulmeve në rrjedhën e poshtme.

Botneti ilustron se si rrjetet moderne të pajisjeve IoT dhe SOHO po transformohen gjithnjë e më shumë në platforma zbulimi me reagim të shpejtë, të afta për të identifikuar infrastrukturën e cenueshme menjëherë pasi mangësitë e sigurisë bëhen publike. Rritja e tij e vazhdueshme tregon se prishja e klasterave ose nyjeve individuale nuk e eliminon domosdoshmërisht aftësinë themelore.

Transformimi i JDY-së nga një element mbështetës i KV-botnet në një platformë zbulimi të pavarur dhe me performancë të lartë nxjerr në pah qëndrueshmërinë dhe përshtatshmërinë e ekosistemeve moderne të kërcënimeve kibernetike. Edhe pas përpjekjeve për eliminimin e tyre, infrastruktura vazhdon të evoluojë, duke u ofruar kundërshtarëve inteligjencë të zbatueshme për synimin, shpesh brenda pak orësh nga zbulimi i një cenueshmërie të re.

Në trend

Përditësim sigurie për të njohur pajisjet dhe...

Fishing, Spam
Emailet e papritura që kërkojnë veprime urgjente duhet të trajtohen gjithmonë me kujdes, veçanërisht kur ato përfshijnë paralajmërime për sigurinë e llogarisë ose kërkesa për të verifikuar informacionin personal. Kriminelët kibernetikë shpesh i maskojnë mesazhet e phishing si njoftime zyrtare për të manipuluar marrësit që të zbulojnë të dhëna të ndjeshme. Emailet 'Përditësimi i Sigurisë për të...

Më e shikuara

Po ngarkohet...