Попуст за више лиценци
Тхреат Датабасе Ботнети JDY ботнет

JDY ботнет

До Mezo. у Ботнети, Напредна трајна претња (АПТ)
Преведи на:

Истраживачи сајбер безбедности идентификовали су значајан поновни пораст и ширење JDY, тајне мреже повезане са актерима претњи које спонзорише држава, а које подржава Кина. Првобитно откривена у децембру 2023. године као кластер унутар веће инфраструктуре KV-ботнета, JDY се развила у независну, веома ефикасну извиђачку платформу.

Мрежа се састоји од више од 1.500 угрожених уређаја за мале канцеларије/кућне канцеларије (SOHO) и Интернет ствари (IoT). Уместо да се првенствено користи за директне нападе, JDY функционише као централно управљани, високо ефикасни систем скенирања способан да открива, отискује и континуирано мапира услуге изложене интернету у великим размерама.

Кинеске претеће групе, укључујући Волт Тајфун, раније су користиле мрежу за подршку прикупљању обавештајних података и напорима за идентификацију мета.

Адаптација након уклањања KV-ботнета

Након што је америчка влада демонтирала KV-ботнет почетком 2024. године, оператери JDY су изменили своје оперативно понашање. Док је секундарни KV кластер углавном нестао, JDY је наставио да се развија и шири. Истраживачи верују да инфраструктура може бити дељена са више кинеских хакерских група, а истовремено је директно користе њени оператери за извиђачке активности.

Недавне истраге откривају да злонамерни софтвер сада циља много шири спектар уређаја и служи као слој за прикупљање података унутар већег екосистема скенирања. Структуриране извиђачке информације које прикупља JDY уносе се у системе који олакшавају избор циља и накнадне активности експлоатације.

Посебно је забрињавајућа улога JDY-ја у брзом идентификовању рањивих система након јавног откривања рањивости. Овакво понашање указује на постојање високо организоване извиђачке операције чије налазе касније користе кинески национални државни актери.

Брзи раст и глобална експанзија

Ботнет је доживео значајан раст, повећавши се са приближно 650 заражених уређаја у јануару 2024. на више од 1.500 компромитованих система. Већина заражених чворова налази се у Сједињеним Државама и Бразилу, са додатним концентрацијама широм Европе и Азије. Растући број бразилских уређаја одражава шири тренд у којем се ботнети све више ослањају на компромитоване системе у Бразилу.

Екосистем уређаја компаније JDY је такође постао знатно разноврснији. Док су се раније верзије првенствено ослањале на рутере Cisco RV320 и RV325, тренутна мрежа укључује хардвер од више произвођача:

  • Сиско
  • Аракнис
  • Мимоза Нетворкс
  • Убиквити
  • ДрејТек
  • Хиквижн
  • Линксис

    • Ова разноликост јача отпорност мреже и проширује њен оперативни домет.

    Уклапање у легитиман интернет саобраћај

    Значајан део JDY-јеве инфраструктуре састоји се од SOHO и IoT уређаја са седиштем у САД. Ова дистрибуција омогућава оператерима да заобиђу многе традиционалне безбедносне контроле, укључујући ограничења геозонирања, филтрирање IP репутације и статичке листе блокирања.

    Ширењем извиђачких активности на хиљаде угрожених IP адреса, оператери смањују вероватноћу да ће било који појединачни систем бити идентификован и блокиран као извор скенирања. Штавише, коришћење легитимних уређаја потрошача и малих предузећа омогућава злонамерном саобраћају да се природније уклопи са уобичајеним интернет активностима, што знатно отежава откривање.

    Слојевита инфраструктура дизајнирана за прикривеност

    JDY функционише кроз софистицирану, слојевиту архитектуру. Претње користе Tor чворове за управљање инфраструктуром командовања и контроле (C2) и серверима за испоруку корисног терета, помажући у прикривању оперативних активности.

    Уместо да спроводе неселективно скенирање целог интернета, C2 сервери додељују циљане задатке извиђања и профилисања зараженим уређајима. Прикупљени обавештајни подаци се преносе назад на централизоване сервере, где се агрегирају и анализирају како би се подржале шире кинеске сајбер операције и стратешки циљеви.

    Искоришћавање новооткривених рањивости

    Ланци напада повезани са JDY често користе новообјављене рањивости на edge уређајима као оружје, укључујући рањивости као што је CVE-2026-35616. Успешна експлоатација покреће испоруку shell-скрипте која прво проверава да ли је злонамерни софтвер већ присутан на циљном систему.

    Ако се не открије активна инфекција, програм за преузимање злонамерног софтвера преузима одговарајући садржај злонамерног софтвера на основу архитектуре процесора жртве, укључујући варијанте за MIPS, MIPS64, MIPSEL и MIPSEL64 системе. Након извршења, преузети злонамерни софтвер се уклања са диска како би се смањила форензичка видљивост.

    Напредне могућности извиђања и адаптивног скенирања

    Примарна сврха злонамерног софтвера је прикупљање обавештајних података, а не директно искоришћавање. Када се активира, он идентификује компромитованог хоста, прима задатке скенирања од централне командне инфраструктуре, врши велико мрежно испитивање, прикупља податке о одговорима као што су TLS сертификати и метаподаци услуга и извештава о налазима назад серверима за отпрему.

    Његов систем за скенирање је веома прилагодљив и прилагођава своје понашање у складу са привилегијама доступним на зараженом уређају:

    Када је доступан приступ на root нивоу, злонамерни софтвер отвара сирове сокете и врши брзо SYN скенирање користећи прилагођене TCP пакете.
    Када повишене привилегије нису доступне или када је потребно веб извиђање, ослања се на стандардне TCP и TLS везе, а може користити и UDP и ICMP технике испитивања.

    Ова флексибилност омогућава JDY да максимизира ефикасност извиђања у широком спектру угрожених система.

    Континуирана извиђачка способност за кинеске претње

    Истраживачи верују да обавештајни подаци прикупљени путем JDY-а подржавају операције откривања имовине, токове рада усмерене на циљање рањивости и платформе за низводну експлоатацију или оркестрацију напада.

    Ботнет илуструје како се модерне мреже IoT и SOHO уређаја све више трансформишу у платформе за брзо извиђање способне да идентификују рањиву инфраструктуру убрзо након што безбедносни пропусти постану јавни. Његов континуирани раст показује да ометање појединачних кластера или чворова не мора нужно елиминисати основну могућност.

    Трансформација JDY-ја од помоћног елемента KV-ботнета у независну, високо ефикасну извиђачку платформу истиче постојаност и прилагодљивост модерних екосистема сајбер претњи. Чак и након покушаја уклањања, инфраструктура наставља да се развија, пружајући противницима корисне обавештајне податке о циљању, често у року од неколико сати од откривања нове рањивости.

    У тренду

    Безбедносно ажурирање за препознавање поузданих...

    Пецање, Спам
    Неочекиване имејлове који захтевају хитну акцију увек треба третирати са опрезом, посебно када укључују упозорења о безбедности налога или захтеве за верификацију личних података. Сајбер криминалци често прикривају фишинг поруке као званична обавештења како би манипулисали примаоцима да открију осетљиве податке. Имејлови „Безбедносно ажурирање за препознавање поузданих уређаја и локација“ су...

    Најгледанији

    Учитавање...