フォローする 
概要
Black Lotus Labsは、中国に関連付けられたJDYボットネットの新たな活動を特定しました。これは、1,500以上の侵害されたSOHOおよびIoTデバイスからなるネットワークで、大規模なスキャンとフィンガープリンティングに使用されています。このボットネットは中央集権的な指令制御システムから指示を受け、ターゲットを絞ったマルチプロトコルスキャンを実行し、運用者が最近開示された脆弱性を迅速に利用できるような構造化されたテレメトリを返送します。インフラストラクチャはTorを通じて隠され、感染したデバイスを管理するためにPlatypusというオープンソースプラットフォームが使用されています。活動はアメリカの軍事および重要インフラのターゲットに焦点を当てられています。
調査
調査では、JDYトラフィックが 149.248.3.38のペイロードサーバに追跡され、 13339ポートでPlatypusサービスをホストしていることが判明しました。そして、 busybox, curlまたは wgetを介してアーキテクチャ固有のバイナリを取得するbashベースのドロッパーが見つかりました。マルウェアサンプルの調査では、コマンドラインオプション、ビーコンの振る舞い、暗号化されたHTTPSエンドポイントを通じたタスクの取得、および生パケットSYNプロービングといった適応スキャン手法が特定されました。また、この報告はJDYを以前のKVボットネットと関連付け、中国のAPTグループVolt Typhoonと関連付けています。
対策
推奨される防御策としては、中国関連の隠密インフラに対抗するためのU.K. NCSCおよびCISAのガイダンスに従うこと、ルータとIoTファームウェアを強化すること、デバイスを定期的に再起動およびパッチを適用すること、またSASEや同様のコントロールを使用して外部への露出を減らすことです。セキュリティチームはまた、見慣れないIPアドレスへの異常なTLSセッションや内部エッジデバイスからの予想外のスキャン活動を監視すべきです。
対応
JDYの活動が検出された場合は、直ちに影響を受けたデバイスを隔離し、特定された指令制御IPとポートへの外部トラフィックをブロックし、悪質なバイナリを削除してください。検出内容には auditdy プロセス名とPlatypusサービスが含まれるべきで、その後、同じビーコンパターンを示す他のIoTデバイスを大規模にネットワーク検索します。その後、ファームウェアを更新し、レポートで言及されたFortinetデバイスを含む露出された脆弱な製品にパッチを適用します。
「graph TB %% クラス定義 classDef technique fill:#c2e0ff classDef tool fill:#d9d9d9 classDef process fill:#ffeb99 %% ノード – テクニック ingress_tool_transfer[「<b>テクニック</b> – <b>T1105 Ingress Tool Transfer</b><br/>wget、curlまたはbusyboxを使用して侵害されたデバイスにJDYバイナリをダウンロードします。」] class ingress_tool_transfer technique system_info_discovery[「<b>テクニック</b> – <b>T1082 システム情報の発見</b><br/>OS、カーネルバージョン、CPUアーキテクチャ、稼働時間、メモリ情報を収集します。」] class system_info_discovery technique firmware_software_gather[「<b>テクニック</b> – <b>T1592.003 ファームウェア</b> および <b>T1592.002 ソフトウェア</b><br/>ユニークなprobe_idを計算するためにファームウェアバージョンとインストール済みソフトウェア詳細を収集します。」] class firmware_software_gather technique sandbox_evasion[「<b>テクニック</b> – <b>T1497.001 仮想化/サンドボックス回避</b><br/>分析サンドボックス内での実行を回避するために環境チェックを行います。」] class sandbox_evasion technique indicator_removal[「<b>テクニック</b> – <b>T1070.004 ファイル削除</b><br/>フォレンジック証拠を減少させるためにペイロードを起動した後にドロッパーファイルを削除します。」] class indicator_removal technique hide_infra[「<b>テクニック</b> – <b>T1665 インフラストラクチャーの隠蔽</b><br/>指令制御エンドポイントを隠すためにTorベースの隠しWebサービスを使用します。」] class hide_infra technique c2_web_service[「<b>テクニック</b> – <b>T1102 ウェブサービス</b><br/>隠しTorサービスを介してHTTP(S)でC2と通信します。」] class c2_web_service technique active_scanning[「<b>テクニック</b> – <b>T1595.002 アクティブスキャン – 脆弱性スキャン</b><br/>大量のスキャンタスクを受け取り、TCP SYN、UDP、SSL、ICMPを含むマルチプロトコルスキャンを実行します。」] class active_scanning technique network_discovery[「<b>テクニック</b> – <b>T1016.001 インターネット接続の発見</b><br/>オープンポートを列挙し、バナー、TLS証明書、サービスフィンガープリントをキャプチャします。」] class network_discovery technique data_archiving[「<b>テクニック</b> – <b>T1560 収集データのアーカイブ</b><br/>結果を圧縮して、ハードコードされたAESキーで暗号化します。」] class data_archiving technique execution_guardrails[「<b>テクニック</b> – <b>T1480.001 環境キーイング</b><br/>ペイロードを意図したホスト上でのみ実行を確実にするために環境固有のキーを使用します。」] class execution_guardrails technique exfiltration[「<b>テクニック</b> – <b>T1102 ウェブサービス (データの持ち出し)</b><br/>暗号化されたスキャン結果をC2エンドポイント "/data/v2/pscan"に投稿します。」] class exfiltration technique %% 攻撃フローを示す接続 ingress_tool_transfer –>|先導する| system_info_discovery system_info_discovery –>|データを提供| firmware_software_gather firmware_software_gather –>|供給する| sandbox_evasion sandbox_evasion –>|継続を許可| indicator_removal indicator_removal –>|アーティファクトを消去する前に| hide_infra hide_infra –>|隠しチャンネルを確立| c2_web_service c2_web_service –>|スキャンタスクを配信| active_scanning active_scanning –>|ネットワークデータを生成| network_discovery network_discovery –>|データを出力| data_archiving data_archiving –>|適用する| execution_guardrails execution_guardrails –>|ペイロードを準備| exfiltration exfiltration –>|結果を保存| c2_web_service %% スタイリング class ingress_tool_transfer,system_info_discovery,firmware_software_gather,sandbox_evasion,indicator_removal,hide_infra,c2_web_service,active_scanning,network_discovery,data_archiving,execution_guardrails,exfiltration technique
攻撃フロー
検出
怪しいディレクトリを指すchmodの怪しい実行(コマンドライン経由)
表示
標準ツールを介したリモートファイルのアップロード/ダウンロード(コマンドライン経由)
表示
JDY IoTおよびSOHOボットネットの拡大による迅速な脆弱性悪用を可能にするIOC(HashMd5)を検出する
表示
JDY IoTおよびSOHOボットネットの拡大による迅速な脆弱性悪用を可能にするIOC(SourceIP)を検出する
表示
JDY IoTおよびSOHOボットネットの拡大による迅速な脆弱性悪用を可能にするIOC(DestinationIP)を検出する
表示
CVE-2026-35616の公表後のFortinetデバイスに対するスキャンの増加を検出する[ファイアウォール]
表示
既知のペイロードサーバーおよびTorノードを介したJDYボットネット活動を検出する[Windowsネットワーク接続]
表示
JDYボットネットドロッパースクリプト検出[Linuxプロセス作成]
表示
シミュレーション実行
前提条件: テレメトリ&ベースラインの事前チェックに合格している必要があります。
理由: このセクションでは、検出ルールを引き起こすために設計された攻撃者技術(TTP)の具体的な実行を詳細に解説しています。コマンドとナarrarrdティブは、特定されたTTPを直接反映し、検出ロジックで期待される正確なテレメトリを生成することを目的としています。
-
攻撃の解説とコマンド:
JDYの操作員は、ハードコーディングされたサーバー(149.248.3.38)から次のステージのペイロードを取得したいと考えています。C2チャネルを隠すために、操作員はTor経由での接続も試み、「tor」正規表現がフラグを立てることを期待しています。侵害されたWindowsホストで、攻撃者はペイロードサーバーにTCPソケットを開くPowerShellのワンライナーを実行し、隠しサービスを解決して接続するためにTorの実行ファイル(tor.exe)を使用します。両方のアクションは、Sigmaルールを満たすべきアウトバウンドファイアウォールイベントを生成します。 -
リグレッションテストスクリプト:
# JDYボットネット活動のシミュレーション - Sigmaルールをトリガー # ------------------------------------------------------- # 1. 既知のペイロードサーバーへの直接接続 $payloadIp = "149.248.3.38" $payloadPort = 80 try { $sock = New-Object System.Net.Sockets.TcpClient($payloadIp, $payloadPort) Write-Output "JDYペイロードサーバーに接続しました ($payloadIp:$payloadPort)" $sock.Close() } catch { Write-Error "ペイロードサーバーへの接続に失敗しました: $_" } # 2. Torを用いた接続(ホスト名に「tor」を含むものによるシミュレーション) # Tor.exeがPATHにあり、127.0.0.1:9050でTOR SOCKSプロキシがリスニングしていると仮定 $torDest = "exampletorhiddenservice.onion" $torPort = 443 $torProxy = "127.0.0.1:9050" try { $script = @" $client = New-Object System.Net.Sockets.TcpClient $client.Connect("$torDest", $torPort) "@ # 実際には、これはTor対応のリゾルバーを必要とします;ここではログ可能なイベントを発生させるだけ Write-Output "Tor接続を試みています $torDest:$torPort を経由して $torProxy" } catch { Write-Error "Tor接続に失敗しました: $_" } # シミュレーションの終了 - ファイアウォールは2つのアウトバウンド試行を記録したはずです -
クリーンアップコマンド:
# 残った接続や一時ファイルを削除 Get-NetTCPConnection -RemotePort 80,443 | Where-Object { $_.RemoteAddress -eq "149.248.3.38" } | Remove-NetTCPConnection -Force # (tor.exeが開始されていた場合は、停止) Stop-Process -Name "tor" -ErrorAction SilentlyContinue