Знижка на кілька ліцензій
База даних загроз Ботнети Ботнет JDY

Ботнет JDY

До Mezo року в Ботнети, Розширена постійна загроза (APT) році
Перекласти на:

Дослідники кібербезпеки виявили значне відродження та розширення JDY, прихованої мережі, пов'язаної з пов'язаними з Китаєм державними кіберзлочинцями. Спочатку виявлена в грудні 2023 року як кластер у межах більшої інфраструктури ботнету KV, JDY перетворилася на незалежну, високоефективну розвідувальну платформу.

Мережа складається з понад 1500 скомпрометованих пристроїв для малого офісу/домашнього офісу (SOHO) та Інтернету речей (IoT). Замість того, щоб використовуватися переважно для прямих атак, JDY функціонує як централізовано керована високопродуктивна система сканування, здатна виявляти, зчитувати відбитки пальців та безперервно картографувати сервіси, що піддаються впливу Інтернету, у великих масштабах.

Китайські групи загроз, зокрема Volt Typhoon, раніше використовували мережу для збору розвідувальних даних та ідентифікації цілей.

Адаптація після знищення KV-ботнету

Після того, як уряд США ліквідував ботнет KV на початку 2024 року, оператори JDY змінили свою операційну поведінку. Хоча вторинний кластер KV значною мірою зник, JDY продовжувала розвиватися та розширюватися. Дослідники вважають, що інфраструктура може використовуватися спільно з кількома китайськими хакерськими групами, а також безпосередньо використовуватися її операторами для розвідувальної діяльності.

Нещодавні розслідування показують, що шкідливе програмне забезпечення тепер націлене на набагато ширший спектр пристроїв і служить рівнем збору даних у більшій екосистемі сканування. Структурована розвідувальна інформація, зібрана JDY, передається в системи, які сприяють вибору цілей та подальшій діяльності з їх використання.

Особливе занепокоєння викликає роль JDY у швидкому виявленні вразливих систем після публічного розкриття інформації про вразливості. Така поведінка свідчить про існування високоорганізованої розвідувальної операції, результати якої пізніше використовуються китайськими державними структурами.

Швидке зростання та глобальна експансія

Ботнет зазнав значного зростання, збільшившись з приблизно 650 інфікованих пристроїв у січні 2024 року до понад 1500 скомпрометованих систем. Більшість інфікованих вузлів розташовані у Сполучених Штатах та Бразилії, з додатковою концентрацією в Європі та Азії. Зростання кількості бразильських пристроїв відображає ширшу тенденцію, згідно з якою ботнети все більше покладаються на скомпрометовані системи в Бразилії.

Екосистема пристроїв JDY також стала значно різноманітнішою. У той час як попередні версії в основному спиралися на маршрутизатори Cisco RV320 та RV325, поточна мережа включає обладнання від кількох постачальників:

  • Cisco
  • Аракніс
  • Мімоза Мережі
  • Убікіті
  • ДрейТек
  • Hikvision
  • Linksys

Таке різноманіття зміцнює стійкість мережі та розширює її операційну діяльність.

Злиття з легітимним інтернет-трафіком

Значна частина інфраструктури JDY складається з пристроїв SOHO та IoT, розташованих у США. Такий розподіл дозволяє операторам обходити багато традиційних засобів контролю безпеки, включаючи обмеження геозонування, фільтрацію репутації IP-адрес та статичні списки блокування.

Розподіливши розвідувальну активність по тисячах скомпрометованих IP-адрес, оператори зменшують ймовірність того, що будь-яка окрема система буде ідентифікована та заблокована як джерело сканування. Крім того, використання легітимних споживчих та малого бізнесу пристроїв дозволяє шкідливому трафіку природніше поєднуватися зі звичайною інтернет-активністю, що значно ускладнює його виявлення.

Багаторівнева інфраструктура, розроблена для прихованості

JDY працює за допомогою складної багаторівневої архітектури. Зловмисники використовують вузли Tor для управління як інфраструктурою командування та управління (C2), так і серверами доставки корисного навантаження, допомагаючи приховувати оперативну діяльність.

Замість проведення невибіркового сканування всього інтернету, сервери C2 призначають цілеспрямовані завдання розвідки та профілювання заражених пристроїв. Зібрані розвідувальні дані передаються назад на централізовані сервери, де вони агрегуються та аналізуються для підтримки ширших китайських кібероперацій та стратегічних цілей.

Використання нещодавно виявлених вразливостей

Ланцюжки атак, пов'язані з JDY, часто використовують нещодавно опубліковані вразливості на периферійних пристроях, включаючи такі вразливості, як CVE-2026-35616. Успішна експлуатація запускає доставку shell-скрипта, який спочатку перевіряє, чи вже присутнє шкідливе програмне забезпечення на цільовій системі.

Якщо активного зараження не виявлено, дроппер отримує відповідне корисне навантаження шкідливого програмного забезпечення на основі архітектури процесора жертви, включаючи варіанти для систем MIPS, MIPS64, MIPSEL та MIPSEL64. Після виконання завантажене шкідливе програмне забезпечення видаляється з диска, щоб зменшити видимість для експертизи.

Розширені можливості розвідки та адаптивного сканування

Основною метою шкідливого програмного забезпечення є збір розвідувальних даних, а не пряме використання. Після активації воно ідентифікує скомпрометований хост, отримує завдання на сканування від центральної командної інфраструктури, виконує масштабне мережеве зондування, збирає дані відповідей, такі як сертифікати TLS та метадані сервісів, і повідомляє про результати на диспетчерські сервери.

Його сканувальний механізм є дуже адаптивним і налаштовує свою поведінку відповідно до привілеїв, доступних на зараженому пристрої:

Коли доступ до root-рівня доступний, шкідливе програмне забезпечення відкриває необроблені сокети та виконує високошвидкісне SYN-сканування за допомогою спеціально створених TCP-пакетів.
Коли підвищені привілеї недоступні або коли потрібна веб-розвідка, система використовує стандартні TCP та TLS-з'єднання, а також може використовувати методи зондування на основі UDP та ICMP.

Така гнучкість дозволяє JDY максимізувати ефективність розвідки в широкому спектрі скомпрометованих систем.

Постійні розвідувальні можливості для китайських загроз

Дослідники вважають, що розвідувальні дані, зібрані за допомогою JDY, підтримують операції з виявлення активів, робочі процеси, спрямовані на виявлення вразливостей, а також платформи для подальшої експлуатації або оркестрації атак.

Цей ботнет ілюструє, як сучасні мережі пристроїв Інтернету речей та SOHO дедалі більше перетворюються на платформи швидкої розвідки, здатні виявляти вразливу інфраструктуру невдовзі після того, як недоліки безпеки стають публічними. Його подальше зростання демонструє, що порушення роботи окремих кластерів або вузлів не обов'язково знищує базову можливість.

Трансформація JDY з допоміжного елемента ботнету KV на незалежну, високопродуктивну розвідувальну платформу підкреслює стійкість та адаптивність сучасних екосистем кіберзагроз. Навіть після зусиль щодо їх знищення інфраструктура продовжує розвиватися, надаючи зловмисникам дієву інформацію про цільове застосування, часто протягом кількох годин після виявлення нової вразливості.

В тренді

Оновлення безпеки для розпізнавання надійних...

Фішинг, Спам
До неочікуваних електронних листів, які вимагають термінових дій, завжди слід ставитися з обережністю, особливо якщо вони містять попередження щодо безпеки облікового запису або запити на перевірку особистої інформації. Кіберзлочинці часто маскують фішингові повідомлення під офіційні сповіщення, щоб маніпулювати одержувачами та змусити їх розкрити конфіденційні дані. Електронні листи «Оновлення...

Aibrowseruodate.com

Шахрайські веб-сайти, рекламне ПЗ, Викрадачі браузера
Бути обережним під час перегляду веб-сторінок важливіше, ніж будь-коли. Кіберзлочинці та шахрайські рекламодавці постійно створюють шахрайські веб-сайти, призначені для маніпулювання відвідувачами...

Найбільше переглянуті

Fuq.com

Програма захисту від шпигунського ПЗ, Шкідливе програмне забезпечення Mac
19,850
Fuq.com — це програма рекламного типу, яка рекламує веб-сайти з порнографічним вмістом. Рекламні кампанії цієї потенційно небажаної програми (PUP) є дуже агресивними. Вони змушують своїх жертв...
Завантаження...