Volt Typhoonなど中国系脅威グループとの関連が指摘される秘密偵察ネットワーク「JDYボットネット」が、大規模な復活を遂げています。
JDYクラスターは、2024年初頭に米国政府の摘発によって大きな打撃を受けたKVボットネット・エコシステムの一部でしたが、その壊滅を生き延びました。
現在は高度に効率化されたORB(オペレーショナル・リレーボックス)ネットワークとして稼働しており、インターネット上に公開されたサービスのスキャン、フィンガープリント収集、マッピングを主な目的としています。
このボットネットは、脆弱なシステムを特定して構造化された偵察データをより大きな脅威エコシステムへと提供することで、APT(高度持続的脅威)アクターが即座に悪用できる標的を絞り込む役割を担っています。
2024年1月の最低水準以降、JDYボットネットの規模は2倍以上に拡大しており、現在は1,500台を超えるSOHO(小規模オフィス・家庭用オフィス)機器およびIoT(モノのインターネット)デバイスを支配下に置いています。
かつてはごく一部のCiscoルーターモデルの脆弱性にほぼ依存していましたが、現在はUbiquiti、Hikvision、Linksys、Araknis、Draytekなど複数メーカーの機器へと感染対象を多様化しています。
この拡大が特に危険視される理由のひとつが、感染デバイスの地理的な分布にあります。
感染デバイスの大多数が米国内に実在するため、攻撃者はジオフェンシングや静的ブロックリストといった従来型のセキュリティ防御を容易に回避できます。
悪意のあるスキャン活動を一般家庭や中小企業の通常インターネットトラフィックに紛れ込ませることで、特定のIPアドレスが脅威として検知されるリスクを回避しています。
JDYボットネットは無差別にウェブ全体をスキャンするのではなく、高度に標的を絞った情報収集を行います。
たとえば、新たな脆弱性(CVE-2026-35616)が公開された数時間後にFortinet機器を標的としたスキャンが急増したことが研究者によって観測されています。
これは、組織がパッチを適用する前に脆弱なインフラを探し出すことを、運営者が意図的に狙っている証拠です。
Lumenの調査によると、このマルウェアはディスパッチサービスから動的なタスクを取得します。スキャンエンジンは高い適応性を持ち、感染デバイス上での権限レベルに応じてスキャン手法を切り替えます。
root権限を持つ場合は、アプリケーションレベルのログに記録されることなく開放ポートを静かに発見できる、高速なrawパケットスキャンを使用します。
管理者権限がない場合は、標準的なTCPおよびTLS接続にフォールバックし、アプリケーションバナー、ドメイン解決情報、セキュリティ証明書などの詳細情報を収集します。
さらに、Oracle WebLogicなど特定のサービスを識別するカスタムフィンガープリントルールも備えています。収集されたすべてのデータは圧縮・暗号化され、構造化されたJSONファイルとして攻撃者へ送信されます。
JDYのような秘密ネットワークへの対策として、組織はIPベースのレピュテーションツールだけでは不十分であることを認識する必要があります。
企業のセキュリティチームは、外部への攻撃対象領域を縮小するため、SASE(セキュア・アクセス・サービス・エッジ)などのソリューションの導入を検討すべきです。
基本的なセキュリティ対策も同様に重要です。メモリ常駐型の脅威を排除するためにルーターを定期的に再起動し、ファームウェアのアップデートを速やかに適用してください。
さらに、CISAや英国NCSCといった機関が公表する防衛ガイダンスに従うことが、こうした急速に進化する国家支援型攻撃キャンペーンからインフラを守るうえで不可欠です。
翻訳元: https://cyberpress.org/jdy-botnet-targets-flaws/
