Botatnet e JDY-së e lidhur me Kinë zgjeron objektivin e rrjeteve ushtarake të SHBA-së
Botnet JDY, një rrjet murware i lidhur më parë me aktorët e kërcënimit kinez si Volt Tifon, ka zgjeruar ndjeshëm fushën e tij të synuar dhe përpjekjet për rikonstruktim.
Sipas kërkuesve të Black Lotus Labs nga Lumen, i cili ka vëzhguar veprimtarinë e vet, JDY mban një fokus të fortë në Shtetet e Bashkuara, ku janë vendosur shumë nga pajisjet e saj të komprometuara dhe ku ajo synon rëndë rrjetet ushtarake dhe shoqëruese.
Firma e sigurisë vë në dukje se JDI është rritur nga rreth 650 robotë aktivë në janar 2024 në mbi 1,500 pajisje të komprometuara SOHO dhe IoT sot.
Ndërsa shifrat duken të ulta, është e rëndësishme të vëresh se JDY nuk është një kuadër shfrytëzimi apo një botnet DDoS që kërkon mizëri të mëdha për të grumbulluar energji zjarri, por në vend të kësaj është një rrjet i shpërndarë skanimi dhe shenjat e gishtërinjve që ndihmon operatorët e saj të gjejnë objektiva të prekshme ndaj të metave të zbuluara.
“Analiza e kësaj veprimtarie tregon një fokus të qartë në identifikimin e infrastrukturës së ndjeshme menjëherë pas zbulimeve të cënueshmërisë publike, duke sugjeruar se prodhimi i ri-konstruktimit vihet në veprim me të shpejtë nga aktorët e përparuar të kërcënimit të vazhdueshëm (APT),” lexohet në raportin Labs Zi Lotus .
“Ky fokus objektiv është vëzhguar në një gamë sektorësh, me njësitë ushtarake të SHBA dhe të lidhura si më të shquara.”
CISA ka paralajmëruar më parë rreth operacioneve të rrezikuara Volt Tifonë që pozojnë për udhëtarët e pambrojtur SOHO, duke u kërkuar shitësve të paisjeve të rrjetit të eliminojnë dobësitë në ndërfaqet e menaxhimit të internetit SOHOO (WMIs) gjatë fazave të projektimit dhe zhvillimit.
botnet JDY është projektuar për të kryer zbulimin e shërbimit, kapjen e flamurit të shërbimit, mbledhjen e certifikatës TLS, shenjat e gishtërinjve të protokollit dhe rishqyrtimin me të meta.
Midis pajisjeve të komprometuara janë ato nga Cisco, Araknis, Mimosa Networks, Ubiquiti, DrayTek, Hikvision dhe Linksis, për MIPS64, MIPSEL dhe MIPSEL64 arkitektura.
Aktorët kërcënues janë të shpejtë për të synuar dobësi të sapozbuluara, me kërkuesit e Lumenit që vëzhgojnë skanimet e JDY që synojnë CVE-202-65616 menjëherë pasi Fortinet zbuloi publikisht të metat e EMS-së Fortikliente.
Operatorët kontrollojnë botnet nëpërmjet shërbimeve të fshehura Tor, të cilat shërbejnë gjithashtu si infrastrukturë komande dhe kontrolli (C2). Në disa raste përdoret gjithashtu kuadri i kundërt i burimit të hapur dhe struktura e menaxhimit të mirëmbajtjes.
Malware rregjistron me një “shërbim të ndeshjeve” qendrore dhe merr caktime skanimi, të cilat i ekzekuton, kompreson rezultatet dhe i dërgon ato përsëri në C2.
Moduli i skanimit mbështet:
Klienti botnet përsërit të njëjtin cikël derisa operatori ta urdhërojë atë të ndalojë.
Funksioni i skanimit TCP është një nga më interesantet teknikisht, thonë kërkuesit, duke shpjeguar se kur JDY ka privilegje të mjaftueshme, ai kryen një skanim shumë më të shpejtë dhe më të fshehtë të SYN.
“Në qoftë se malware mund të hapë një bazë të papërpunuar, e cila përgjithësisht kërkon rrënjë apo privilegje administrative, ajo fillon skanimin me shpejtësi të lartë të SYN duke përdorur paketa TCP të përpunuara,” shpjegon raporti.
“Këto paketa doganore përdorin një port burimi të fiksuar prej 19000, duke rritur portet e destinacionit një në një kohë dhe duke punuar me mijëra objektiva skanim.”
Me rritjen e veprimtarisë së botnet-it JDY, organizatat duhet të sigurojnë itinerare, softralë dhe pajisje ioT po drejtojnë të dhënat më të fundit të sigurisë dhe njollat për t’i penguar ato që të rekrutohen në rrjetet e zbulimit.
Mbrojtësit e mbrojtjes duhet gjithashtu të reduktojnë sipërfaqen e tyre të jashtme të sulmit duke penguar ndërfaqet e panevojshme administrative të ndërmjetësuara nga interneti, duke kufizuar aksesin e menaxhimit të largët, duke zëvendësuar kredencialet e prezgjedhura dhe monitorimin për veprimtari të pazakontë skanimi të jashtme që vjen nga pajisjet e skajit.
Kontrollo çdo shtresë para se sulmuesit të bëjnë
Ekipet e sigurisë arrijnë në 54% të sulmeve të suksesshme dhe paralajmërojnë vetëm 14%. Pjesa tjetër lëviz nëpër mjedisin tuaj të padukshëm.
Letra e bardhë e Picus tregon se si shkelja dhe simulimi i sulmit teston SIM-in dhe rregullat e EDR-së në mënyrë që kërcënimet të ndalen së rrëshqituri duke zbuluar.
Hakerat rusë e kthejnë Kazuarin prapa në botnet modilar P2P
Grupi i ri GoferWissper APT abuzon me Outlook, Slak, Diskord për komunikimet
C0XMO botnet përhapet nëpërmjet të metave të rrugës DD-WRT, vret malware rivale
Govt holandeze shkatërron botnet e malwareve me 17 milionë pajisje të infektuara
Hakerat kinezë synojnë telcos me muratore të reja Linux, Windows