JDY殭屍網絡
網路安全研究人員發現,與中國結盟的國家支持型威脅行為體有關聯的隱藏網絡 JDY 出現顯著復甦和擴張。 JDY 最初於 2023 年 12 月被發現,當時它是大型 KV 殭屍網路基礎設施中的一個集群,如今已發展成為一個獨立且高效的偵察平台。
此網路由超過1500台被入侵的小型辦公室/家庭辦公室(SOHO)和物聯網(IoT)設備組成。 JDY並非主要用於直接攻擊,而是作為一個集中管理的高效能掃描系統,能夠大規模地發現、識別並持續映射暴露在互聯網上的服務。
包括「伏特颱風」在內的中國威脅組織先前曾利用該網路支援情報收集和目標識別工作。
目錄
KV殭屍網路被摧毀後的應對措施
2024年初,美國政府摧毀了KV殭屍網路後,JDY的業者改變了其行動方式。雖然一個次要的KV群集基本上消失,但JDY仍在不斷發展壯大。研究人員認為,其基礎設施可能與多個中國駭客組織共享,同時也被業者直接用於偵察活動。
最新調查顯示,該惡意軟體目前攻擊的目標設備範圍更廣,並作為大型掃描生態系統中的資料收集層。 JDY收集的結構化偵察資訊被輸入到系統中,用於輔助目標選擇和後續的攻擊活動。
尤其令人擔憂的是,在系統漏洞公開揭露後,JDY能夠迅速辨識出有漏洞的系統。這種行為表明,存在一個組織嚴密的偵察行動,其偵察結果隨後被中國國家行為體利用。
快速成長和全球擴張
該殭屍網路規模顯著成長,從2024年1月的約650台受感染設備激增至超過1500台。大多數受感染節點位於美國和巴西,歐洲和亞洲也有少量分佈。巴西設備數量的成長反映了一個更廣泛的趨勢,即殭屍網路越來越依賴巴西境內的受感染系統。
JDY的設備生態系統也變得更加多樣化。早期版本主要依賴思科RV320和RV325路由器,而目前的網路則包含了來自多家供應商的硬體:
- 思科
- 阿拉克尼斯
- 含羞草網絡
- 優比奎蒂
這種多樣性增強了網路的韌性,並擴大了其營運範圍。
融入合法網路流量
JDY 的基礎設施很大一部分由位於美國的小型辦公室/家庭辦公室 (SOHO) 和物聯網 (IoT) 設備組成。這種分佈使得營運商能夠繞過許多傳統的安全控制措施,包括地理圍欄限制、IP 信譽過濾和靜態黑名單。
透過將偵察活動分散到數千個被入侵的IP位址上,攻擊者降低了單一系統被識別並屏蔽為掃描來源的可能性。此外,利用合法的消費者和小型企業設備,惡意流量能夠更自然地融入正常的網路活動中,從而顯著增加偵測難度。
為隱蔽性而設計的分層基礎設施
JDY 採用複雜的分層架構運作。攻擊者利用 Tor 節點管理命令與控制 (C2) 基礎架構和有效載荷分發伺服器,從而幫助隱藏其行動活動。
C2伺服器並非進行無差別的全網掃描,而是將針對性的偵察和分析任務分配給受感染的設備。收集到的情報會傳回中央伺服器,在那裡進行匯總和分析,以支援更廣泛的中國網路行動和戰略目標。
利用新揭露的漏洞
與 JDY 相關的攻擊鏈經常利用邊緣設備中新發布的漏洞,包括 CVE-2026-35616 等漏洞。成功利用這些漏洞會觸發 shell 腳本投放器的投放,該投放器首先檢查惡意軟體是否已存在於目標系統上。
如果未偵測到活動感染,投放器會根據受害者的處理器架構(包括 MIPS、MIPS64、MIPSEL 和 MIPSEL64 系統)下載對應的惡意軟體有效載荷。下載的惡意軟體執行後會從磁碟中刪除自身,以降低取證的可見性。
先進的偵察和自適應掃描能力
該惡意軟體的主要目的是收集情報,而非直接利用漏洞。一旦激活,它會對受感染主機進行指紋識別,從中央指揮基礎設施接收掃描任務,執行大規模網路探測,收集回應資料(例如 TLS 憑證和服務元資料),並將偵測結果報告給調度伺服器。
它的掃描引擎具有高度適應性,會根據受感染設備上的可用權限調整其行為:
當取得 root 權限時,惡意軟體會開啟原始套接字,並使用客製化的 TCP 封包執行高速 SYN 掃描。
當無法獲得更高的權限,或需要進行基於 Web 的偵察時,它依賴於標準的 TCP 和 TLS 連接,也可以採用基於 UDP 和 ICMP 的探測技術。
這種靈活性使 JDY 能夠在各種受損系統中最大限度地提高偵察效率。
中國威脅行為者的持續偵察能力
研究人員認為,透過 JDY 收集的情報支援資產發現作業、漏洞目標工作流程以及下游利用或攻擊編排平台。
殭屍網路表明,現代物聯網和小型辦公室/家庭辦公室 (SOHO) 設備網路正日益轉變為快速響應偵察平台,能夠在安全漏洞公開後迅速識別易受攻擊的基礎設施。其持續成長表明,破壞單一叢集或節點並不一定能消除其底層能力。
JDY從KV殭屍網路的輔助元件轉型為獨立的高效能偵察平台,凸顯了現代網路威脅生態系統的持久性和適應性。即使在清除之後,其基礎設施仍在不斷演進,為攻擊者提供可操作的目標情報,而且往往在新漏洞披露後的數小時內就能實現。
