返回
快讯

JDY僵尸网络扩张至1500余设备

研究人员警告,面向中国关联国家支持型威胁行为者的隐蔽网络 JDY 出现“复苏和扩张”。该僵尸网络已控制超过 1,500 台 SOHO 和 IoT 设备,用于大规模侦察、指纹识别和持续映射暴露服务。受影响设备多为已达 EoL 的设备,建议尽快排查暴露面并修补已知漏洞。

CVE-2023-20118CVE-2022-32548CVE-2023-24738CVE-2021-36260CVE-2026-35616

网络安全研究人员已警告,JDY 这一与中国关联的国家支持型威胁行为者相关的隐蔽网络出现了“复苏和扩张”。

Lumen 的 Black Lotus Labs 在与 The Hacker News 分享的一份报告中表示:“JDY botnet 由超过 1,500 台 SOHO [small office and home office] 和 IoT 设备组成,作为一个集中控制的高性能扫描器运行,用于大规模发现、指纹识别并持续映射暴露的服务。”

JDY 最早于 2023 年 12 月中旬被标记为代号 KV-botnet 的另一僵尸网络中的一个集群。该隐蔽网络主要用于对互联网目标进行更广泛的扫描,包含被入侵的 SOHO 路由器、防火墙和 IoT 设备,并已被 Volt Typhoon 等中国黑客组织使用。

在美国政府于 2024 年初关闭 KV-botnet 之后,僵尸网络运营者开始对该网络进行行为调整,第二个 KV 集群大多已下线。据怀疑,运营者一方面将该僵尸网络提供给多个黑客团伙使用,另一方面也自行开展侦察和目标活动。

Black Lotus Labs 的最新发现显示,该恶意软件的感染范围已扩大到更多类型的设备,并充当一个通道,将“structured reconnaissance data”输入更大的扫描生态系统,以便后续进行目标识别和利用。

具体而言,JDY 集群被用于开展定向扫描和服务指纹识别,目的是在公开披露后标记存在漏洞的基础设施。这表明存在一种工业化的侦察行动,其结果被中国国家级团体所利用。

与此同时,该僵尸网络规模也在增长,从 2024 年 1 月初的 650 个 bot 激增至 1,500 多台被入侵设备。大多数被黑节点位于美国和巴西,其次是欧洲和亚洲。Black Lotus Labs 告诉 The Hacker News,巴西的集群反映出“我们现在看到越来越多由巴西受害者组成的 botnet”。

此前该集群主要由 Cisco RV320 和 RV325 路由器组成,而目前的构成要多样得多,包括 Araknis、Mimosa Networks、Ubiquiti、Draytek、Hikvision 和 Linksys 的设备。

绝大多数受害设备被评估为已达到生命周期终止(EoL)状态,且存在已知漏洞。尽管具体安全缺陷的性质尚不明确,但根据被利用的具体设备型号,怀疑涉及以下情况——

Cisco RV042 - 可能受 CVE-2023-20118 等缺陷影响

DrayTek Vigor3900 Series - 可能受 CVE-2022-32548 等缺陷影响

Araknis AN-300-RT-4L2W - 可能受 CVE-2023-24738 等缺陷影响

Hikvision IP cameras - 可能受 CVE-2021-36260 等缺陷影响

Linksys LRT224 - 未知 CVE,但据称已在暗网出售 zero-day

“僵尸网络中大量位于美国的 SOHO/IoT 设备,使运营者能够规避防御和传统基于 IP 的控制,例如 geofencing、基于 IP reputation 的检测以及静态 blocklist,”Black Lotus Labs 表示。

“通过将扫描和侦察活动分布到大量不同的 IP 地址,运营者降低了任何单一 IP 被标记为扫描器并遭到封禁的可能性。此外,使用被入侵的 SOHO 和 IoT 设备有助于让这些活动混入合法用户流量之中。”

驱动该僵尸网络的架构最好被描述为分层式:运营者使用 Tor 节点来管理被感染基础设施,包括 command-and-control (C2) 服务器和 payload 服务器。C2 服务器指挥 bot 执行定向侦察和系统分析,而不是无差别扫描。扫描结果会被发送到中央服务器,用于持续收集情报,以进一步服务于中国威胁行为者的目标。

攻击链会武器化边缘设备中新披露的漏洞(例如 CVE-2026-35616),投递一个 shell script dropper。该 dropper 会检查恶意软件是否已在运行;如果没有,则根据检测到的处理器架构(例如 mips、mips64、mipsel 或 mipsel64)下载主 payload。恶意软件启动后会从磁盘删除。

用于辅助扫描和目标侦察的恶意软件被设计为对主机进行指纹识别,从中央 C2 服务器接收扫描任务,执行大规模 TCP、SSL、UDP 和 ICMP 辅助探测,捕获响应(TLS certificates、metadata 等),并将结果回传到分发服务器。其目标是开展基础设施侦察,而非利用。

该恶意软件一个值得注意的功能,是能够根据其在本地系统上的权限调整扫描方式。如果它可以打开 raw socket,这表明拥有 root 权限,它就会使用自定义 TCP packets 发起高速 SYN 扫描。如果 raw socket 不可用,或者任务是 web scan,则扫描引擎会改用标准 TCP 和 TLS 连接,或采用 UDP 和 ICMP 等协议。

Cybersecurity 公司表示,这种活动很可能为资产发现、漏洞定向管线以及下游的利用或攻击编排系统提供信息。

该公司表示:“JDY 展示了 IoT/SOHO botnets 和被入侵设备的隐蔽网络如何被用于快速的漏洞利用。JDY 的增长和持续运行表明,即使在被关闭之后,现代侦察网络仍会持续存在,并在更广泛的对手生态中演变为一种持久能力。”

“JDY 从 KV-botnet 的一个支撑组件演变为独立的高性能侦察能力,这表明,单独节点或集群的中断并不会消除底层能力。该能力会持续存在、适应变化,并继续为对手提供及时的目标数据,通常在漏洞披露后的数小时内就能获得。”

(本文在发表后更新,补充了 Lumen Black Lotus Labs 的更多见解。)