Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Black Lotus Labs hat erneute Aktivitäten des JDY-Botnets identifiziert, einem mit China in Verbindung stehenden Netzwerk von mehr als 1.500 kompromittierten SOHO- und IoT-Geräten, das für großflächige Scans und Fingerprinting genutzt wird. Das Botnet erhält Anweisungen von einem zentralen Command-and-Control-System, führt gezielte Multiprotokoll-Scans durch und liefert strukturierte Telemetrie zurück, die den Betreibern hilft, neu veröffentlichte Schwachstellen schnell auszunutzen. Seine Infrastruktur wird durch Tor verschleiert, während eine Open-Source-Plattform namens Platypus zur Verwaltung der infizierten Geräte eingesetzt wird. Die Aktivitäten sind auf US-Militär- und kritische Infrastrukturziele ausgerichtet.
Untersuchung
Die Untersuchung verfolgte JDY-Verkehr zu einem PayLoad-Server bei 149.248.3.38, der einen Platypus-Dienst auf Port 13339hostete und ein auf Bash basierendes Dropper-Skript entdeckte, das architektur-spezifische Binärdateien über busybox, curl, oder wgetbezieht. Malware-Proben wurden untersucht, um Kommandozeilenoptionen, Beaconing-Verhalten, Aufgabrretrieval über verschlüsselte HTTPS-Endpunkte und adaptive Scanning-Methoden wie Raw-Packet-SYN-Probing zu identifizieren. Der Bericht verbindet JDY auch mit dem früheren KV-Botnet und assoziiert die Aktivitäten mit der chinesischen APT-Gruppe Volt Typhoon.
Abwehr
Empfohlene Abwehrmaßnahmen umfassen das Befolgen der Leitlinien des UK NCSC und der CISA zur Bekämpfung von China-gebundener verdeckter Infrastruktur, die Härtung von Router- und IoT-Firmware, das regelmäßige Neustarten und Patchen von Geräten sowie die Nutzung von SASE oder ähnlichen Kontrollen zur Reduzierung der externen Exposition. Sicherheitsteams sollten auch auf ungewöhnliche ausgehende TLS-Sitzungen zu unbekannten IP-Adressen und unerwartete Scanning-Aktivitäten von internen Edge-Geräten aus achten.
Reaktion
Wenn JDY-Aktivitäten erkannt werden, isolieren Sie das betroffene Gerät sofort, blockieren Sie ausgehenden Verkehr zu der identifizierten Command-and-Control-IP und dem Port und entfernen Sie alle bösartigen Binärdateien. Die Erkennungsinhalte sollten den auditdy Prozessnamen und den Platypus-Dienst umfassen, gefolgt von einem umfassenden Netzwerkscan nach anderen IoT-Geräten, die das gleiche Beaconing-Muster zeigen. Die Firmware sollte dann aktualisiert und Patches auf alle exponierten verwundbaren Produkte angewendet werden, einschließlich der im Bericht referenzierten Fortinet-Geräte.
"graph TB %% Klassendefinitionen classDef technique fill:#c2e0ff classDef tool fill:#d9d9d9 classDef process fill:#ffeb99 %% Knoten – Techniken ingress_tool_transfer["<b>Technik</b> – <b>T1105 Ingress Tool Transfer</b><br/>Lädt das JDY-Binärdatei auf kompromittierte Geräte mithilfe von wget, curl oder busybox herunter."] class ingress_tool_transfer technique system_info_discovery["<b>Technik</b> – <b>T1082 System Information Discovery</b><br/>Sammelt Betriebssystem, Kernelversion, CPU-Architektur, Betriebszeit und Speicherinformationen."] class system_info_discovery technique firmware_software_gather["<b>Technik</b> – <b>T1592.003 Firmware</b> und <b>T1592.002 Software</b><br/>Sammelt Firmware-Version und installierte Software-Details, um eine eindeutige Probe_id zu berechnen."] class firmware_software_gather technique sandbox_evasion["<b>Technik</b> – <b>T1497.001 Virtualization/Sandbox Evasion</b><br/>Führt Umgebungskontrollen durch, um die Ausführung innerhalb von Analysesandkästen zu vermeiden."] class sandbox_evasion technique indicator_removal["<b>Technik</b> – <b>T1070.004 File Deletion</b><br/>Löscht Dropper-Dateien nach Payload-Start, um forensische Beweise zu reduzieren."] class indicator_removal technique hide_infra["<b>Technik</b> – <b>T1665 Hide Infrastructure</b><br/>Verwendet versteckte, auf Tor basierte Webdienste, um Kommando- und Kontrollendpunkte zu verbergen."] class hide_infra technique c2_web_service["<b>Technik</b> – <b>T1102 Web Service</b><br/>Kommuniziert mit C2 über HTTP(S) über den versteckten Tor-Dienst."] class c2_web_service technique active_scanning["<b>Technik</b> – <b>T1595.002 Active Scanning – Vulnerability Scanning</b><br/>Erhält hochvolumige Scanning-Aufgaben und führt Multi-Protokoll (TCP SYN, UDP, SSL, ICMP) Scans durch."] class active_scanning technique network_discovery["<b>Technik</b> – <b>T1016.001 Internet Connection Discovery</b><br/>Listet offene Ports auf, erfasst Banner, TLS-Zertifikate und Service-Fingerprints."] class network_discovery technique data_archiving["<b>Technik</b> – <b>T1560 Archive Collected Data</b><br/>Komprimiert Ergebnisse und verschlüsselt sie mit einem festcodierten AES-Schlüssel."] class data_archiving technique execution_guardrails["<b>Technik</b> – <b>T1480.001 Environmental Keying</b><br/>Verwendet umgebungsspezifische Schlüssel, um sicherzustellen, dass der Payload nur auf vorgesehenen Hosts ausgeführt wird."] class execution_guardrails technique exfiltration["<b>Technik</b> – <b>T1102 Web Service (Exfiltration)</b><br/>Postet verschlüsselte Scan-Ergebnisse an C2-Endpunkt ‚/data/v2/pscan‘."] class exfiltration technique %% Verbindungen, die den Angriffsfluss zeigen ingress_tool_transfer –>|führt zu| system_info_discovery system_info_discovery –>|liefert Daten für| firmware_software_gather firmware_software_gather –>|füttert| sandbox_evasion sandbox_evasion –>|ermöglicht Fortführung zu| indicator_removal indicator_removal –>|entfernt Artefakte vor| hide_infra hide_infra –>|etabliert versteckten Kanal für| c2_web_service c2_web_service –>|liefert Scanning-Aufgaben an| active_scanning active_scanning –>|generiert Netzwerkdaten für| network_discovery network_discovery –>|gibt Daten aus an| data_archiving data_archiving –>|wendet an| execution_guardrails execution_guardrails –>|bereitet Payload vor für| exfiltration exfiltration –>|speichert Ergebnisse auf| c2_web_service %% Stil class ingress_tool_transfer,system_info_discovery,firmware_software_gather,sandbox_evasion,indicator_removal,hide_infra,c2_web_service,active_scanning,network_discovery,data_archiving,execution_guardrails,exfiltration technique "
Angriffsfluss
Erkennungen
Verdächtige Chmod-Ausführung, die auf verdächtige Verzeichnisse zeigt (via cmdline)
Ansicht
Remote-Datei-Upload/Download über Standardwerkzeuge (via cmdline)
Ansicht
IOCs (HashMd5) erkennen: Erweitertes JDY IoT und SOHO Botnet ermöglicht schnelle Ausnutzung von Schwachstellen
Ansicht
IOCs (SourceIP) erkennen: Erweitertes JDY IoT und SOHO Botnet ermöglicht schnelle Ausnutzung von Schwachstellen
Ansicht
IOCs (DestinationIP) erkennen: Erweitertes JDY IoT und SOHO Botnet ermöglicht schnelle Ausnutzung von Schwachstellen
Ansicht
Erkennung von verstärkten Scans für Fortinet-Geräte nach CVE-2026-35616 Bekanntgabe [Firewall]
Ansicht
Erkennt JDY-Botnet-Aktivität über bekannten Payload-Server und Tor-Knoten [Windows Netzwerkverbindung]
Ansicht
Erkennung des JDY-Botnet-Dropper-Skripts [Linux Prozess-Erstellung]
Ansicht
Simulation der Ausführung
Voraussetzung: Der Telemetrie & Baseline-Pre‑flight-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifertechnik (TTP), um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Der JDY-Operator möchte die Payload der nächsten Stufe von seinem hartcodierten Server (149.248.3.38) abrufen. Um den C2-Kanal zu verstecken, versucht der Operator auch eine über Tor geleitete Verbindung, in der Hoffnung, dass der ‚tor‘-Regex ihn markiert. Auf einem kompromittierten Windows-Host führt der Angreifer ein PowerShell-Einzeiler aus, der einen TCP-Socket zum Payload-Server öffnet, dann das Tor-Executable (tor.exe) verwendet, um einen versteckten Dienst aufzulösen und sich damit zu verbinden. Beide Aktionen erzeugen ausgehende Firewall-Ereignisse, die die Sigma-Regel erfüllen sollten. -
Regressionstest-Skript:
# JDY Botnet Aktivitätssimulation – löst die Sigma-Regel aus # ------------------------------------------------------- # 1. Direkte Verbindung zum bekannten Payload-Server $payloadIp = "149.248.3.38" $payloadPort = 80 try { $sock = New-Object System.Net.Sockets.TcpClient($payloadIp, $payloadPort) Write-Output "Verbunden mit JDY Payload-Server ($payloadIp:$payloadPort)" $sock.Close() } catch { Write-Error "Fehler beim Verbinden mit dem Payload-Server: $_" } # 2. Tor-basierte Verbindung (simuliert über Hostname, der 'tor' enthält) # Nimmt an, tor.exe ist im PATH und ein TOR-SOCKS-Proxy lauscht auf 127.0.0.1:9050 $torDest = "exampletorhiddenservice.onion" $torPort = 443 $torProxy = "127.0.0.1:9050" try { $script = @" $client = New-Object System.Net.Sockets.TcpClient $client.Connect("$torDest", $torPort) "@ # In der Praxis erfordert dies einen Tor-fähigen Resolver; hier geben wir nur ein protokollierbares Ereignis aus Write-Output "Versuche Tor Verbindung zu $torDest:$torPort über $torProxy" } catch { Write-Error "Tor Verbindung fehlgeschlagen: $_" } # Ende der Simulation – die Firewall sollte zwei ausgehende Versuche registriert haben -
Bereinigungskommandos:
# Entfernen aller verbleibenden Verbindungen oder temporären Dateien Get-NetTCPConnection -RemotePort 80,443 | Where-Object { $_.RemoteAddress -eq "149.248.3.38" } | Remove-NetTCPConnection -Force # (Wenn tor.exe gestartet wurde, stoppen) Stop-Process -Name "tor" -ErrorAction SilentlyContinue