Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Botnetler JDY Botnet

JDY Botnet

Mezo'de Botnetler, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

Siber güvenlik araştırmacıları, Çin'e bağlı devlet destekli tehdit aktörleriyle bağlantılı gizli bir ağ olan JDY'nin önemli ölçüde yeniden ortaya çıktığını ve genişlediğini tespit etti. İlk olarak Aralık 2023'te daha büyük KV-botnet altyapısı içindeki bir küme olarak saptanan JDY, bağımsız ve son derece etkili bir keşif platformuna dönüştü.

Ağ, 1.500'den fazla ele geçirilmiş Küçük Ofis/Ev Ofisi (SOHO) ve Nesnelerin İnterneti (IoT) cihazından oluşmaktadır. JDY, öncelikle doğrudan saldırılar için kullanılmak yerine, büyük ölçekte internete açık hizmetleri keşfetme, parmak izi alma ve sürekli olarak haritalama yeteneğine sahip, merkezi olarak yönetilen, yüksek performanslı bir tarama sistemi olarak işlev görmektedir.

Volt Typhoon da dahil olmak üzere Çinli tehdit grupları, daha önce bu ağı istihbarat toplama ve hedef belirleme çabalarını desteklemek için kullanmıştı.

KV-Botnet Operasyonunun Ardından Gelen Adaptasyon

ABD hükümeti 2024 yılının başlarında KV botnetini etkisiz hale getirdikten sonra, JDY operatörleri operasyonel davranışlarını değiştirdi. İkinci bir KV kümesi büyük ölçüde ortadan kaybolurken, JDY gelişmeye ve genişlemeye devam etti. Araştırmacılar, altyapının birden fazla Çinli hacker grubuyla paylaşıldığına ve aynı zamanda operatörleri tarafından keşif faaliyetleri için doğrudan kullanıldığına inanıyor.

Son araştırmalar, kötü amaçlı yazılımın artık çok daha geniş bir cihaz yelpazesini hedef aldığını ve daha büyük bir tarama ekosistemi içinde veri toplama katmanı görevi gördüğünü ortaya koyuyor. JDY tarafından toplanan yapılandırılmış keşif bilgileri, hedef seçimini ve ardından gelen istismar faaliyetlerini kolaylaştıran sistemlere aktarılıyor.

Özellikle endişe verici olan, JDY'nin kamuoyuna açıklanan güvenlik açıkları sonrasında savunmasız sistemleri hızla tespit etmedeki rolüdür. Bu davranış, bulguları daha sonra Çinli devlet aktörleri tarafından kullanılan son derece organize bir keşif operasyonunun varlığını düşündürmektedir.

Hızlı Büyüme ve Küresel Genişleme

Botnet önemli ölçüde büyüdü ve Ocak 2024'te yaklaşık 650 enfekte cihazdan 1.500'den fazla ele geçirilmiş sisteme ulaştı. Enfekte düğümlerin çoğu Amerika Birleşik Devletleri ve Brezilya'da bulunurken, Avrupa ve Asya'da da ek yoğunlaşmalar mevcut. Brezilya'daki cihaz sayısındaki artış, botnetlerin Brezilya'daki ele geçirilmiş sistemlere giderek daha fazla bağımlı hale geldiği daha geniş bir eğilimi yansıtıyor.

JDY'nin cihaz ekosistemi de önemli ölçüde daha çeşitli hale geldi. Önceki sürümler ağırlıklı olarak Cisco RV320 ve RV325 yönlendiricilerine dayanırken, mevcut ağda birden fazla tedarikçiden donanım bulunuyor:

  • Cisco
  • Araknis
  • Mimosa Ağları
  • Ubiquiti
  • DrayTek
  • Hikvision
  • Linksys

    • Bu çeşitlilik, ağın dayanıklılığını güçlendirir ve operasyonel erişim alanını genişletir.

    Meşru İnternet Trafiğine Karışmak

    JDY'nin altyapısının önemli bir kısmı ABD merkezli SOHO ve IoT cihazlarından oluşmaktadır. Bu dağıtım, operatörlerin coğrafi sınırlama kısıtlamaları, IP itibar filtrelemesi ve statik kara listeler de dahil olmak üzere birçok geleneksel güvenlik kontrolünü atlamasına olanak tanır.

    Keşif faaliyetlerini binlerce ele geçirilmiş IP adresine yayarak, operatörler herhangi bir sistemin tarama kaynağı olarak tanımlanıp engellenme olasılığını azaltırlar. Dahası, meşru tüketici ve küçük işletme cihazlarının kullanılması, kötü amaçlı trafiğin sıradan internet etkinliğiyle daha doğal bir şekilde karışmasını sağlayarak tespitini önemli ölçüde zorlaştırır.

    Gizlilik İçin Tasarlanmış Katmanlı Altyapı

    JDY, karmaşık ve katmanlı bir mimari üzerinden çalışır. Tehdit aktörleri, hem Komuta ve Kontrol (C2) altyapısını hem de zararlı yazılım dağıtım sunucularını yönetmek için Tor düğümlerini kullanır ve bu da operasyonel faaliyetlerin gizlenmesine yardımcı olur.

    C2 sunucuları, internet genelinde rastgele taramalar yapmak yerine, enfekte olmuş cihazlara yönelik hedefli keşif ve profil oluşturma görevleri atar. Toplanan istihbarat, merkezi sunuculara geri iletilir ve burada daha geniş Çin siber operasyonlarını ve stratejik hedeflerini desteklemek için toplanır ve analiz edilir.

    Yeni Ortaya Çıkan Güvenlik Açıklarından Yararlanma

    JDY ile ilişkili saldırı zincirleri, CVE-2026-35616 gibi yeni yayınlanan güvenlik açıklarını sıklıkla hedef cihazlarda silah olarak kullanmaktadır. Başarılı bir istismar, öncelikle kötü amaçlı yazılımın hedef sistemde zaten mevcut olup olmadığını kontrol eden bir shell-script yükleyicisinin gönderilmesini tetikler.

    Eğer aktif bir enfeksiyon tespit edilmezse, yükleyici, kurbanın işlemci mimarisine (MIPS, MIPS64, MIPSEL ve MIPSEL64 sistemleri için varyantlar dahil) bağlı olarak uygun kötü amaçlı yazılım yükünü indirir. Çalıştırıldıktan sonra, indirilen kötü amaçlı yazılım, adli incelemelerde görünürlüğü azaltmak için kendisini diskten siler.

    Gelişmiş Keşif ve Uyarlanabilir Tarama Yetenekleri

    Bu kötü amaçlı yazılımın asıl amacı doğrudan istismar etmek değil, istihbarat toplamaktır. Aktif hale geldiğinde, ele geçirilen ana bilgisayarın parmak izini çıkarır, merkezi komuta altyapısından tarama görevleri alır, geniş ölçekli ağ araştırması yapar, TLS sertifikaları ve hizmet meta verileri gibi yanıt verilerini toplar ve bulgularını dağıtım sunucularına bildirir.

    Tarama motoru oldukça uyarlanabilir olup, bulaşmış cihazda mevcut olan ayrıcalıklara göre davranışını ayarlar:

    Kök erişim izni verildiğinde, kötü amaçlı yazılım ham soketler açar ve özel olarak hazırlanmış TCP paketleri kullanarak yüksek hızlı SYN taraması gerçekleştirir.
    Yüksek ayrıcalıkların mevcut olmadığı durumlarda veya web tabanlı keşif gerektiğinde, standart TCP ve TLS bağlantılarına güvenir ve ayrıca UDP ve ICMP tabanlı yoklama tekniklerini de kullanabilir.

    Bu esneklik, JDY'nin çok çeşitli tehlikeye düşmüş sistemlerde keşif etkinliğini en üst düzeye çıkarmasına olanak tanır.

    Çinli Tehdit Aktörleri İçin Sürekli Keşif Yeteneği

    Araştırmacılar, JDY aracılığıyla toplanan istihbaratın varlık keşif operasyonlarını, güvenlik açığı hedefleme iş akışlarını ve aşağı yönlü istismar veya saldırı düzenleme platformlarını desteklediğine inanıyor.

    Botnet, modern IoT ve SOHO cihaz ağlarının, güvenlik açıkları kamuoyuna duyurulduktan kısa bir süre sonra savunmasız altyapıyı tespit edebilen hızlı yanıt veren keşif platformlarına nasıl dönüştüğünü göstermektedir. Sürekli büyümesi, tek tek kümeleri veya düğümleri bozmanın, altta yatan yeteneği mutlaka ortadan kaldırmadığını ortaya koymaktadır.

    JDY'nin KV-botnet'inin destekleyici bir unsurundan bağımsız, yüksek performanslı bir keşif platformuna dönüşümü, modern siber tehdit ekosistemlerinin kalıcılığını ve uyarlanabilirliğini vurgulamaktadır. Etkisiz hale getirme çabalarından sonra bile, altyapı gelişmeye devam ederek, düşmanlara genellikle yeni bir güvenlik açığının ortaya çıkmasından saatler sonra eyleme geçirilebilir hedefleme istihbaratı sağlamaktadır.

    trend

    Güvenilir Cihazları ve Konumları Tanıma Özelliğiyle...

    Kimlik avı, İstenmeyen e-posta
    Beklenmedik ve acil işlem gerektiren e-postalar, özellikle hesap güvenliği uyarıları veya kişisel bilgilerin doğrulanması talepleri içeriyorsa, her zaman dikkatle ele alınmalıdır. Siber suçlular, alıcıları hassas verileri ifşa etmeye yönlendirmek için sıklıkla kimlik avı mesajlarını resmi bildirimler gibi gösterirler. 'Güvenilir Cihazları ve Konumları Tanımak İçin Güvenlik Güncellemesi'...

    En çok görüntülenen

    Yükleniyor...