Ботнет Bigpanzi

По-рано неидентифицирана киберпрестъпна организация, наречена „Bigpanzi“, генерира значителни печалби, като компрометира Android TV и eCos декодери в световен мащаб най-малко от 2015 г. Според изследователите тази заплашителна група управлява обширна ботнет, включваща около 170 000 ежедневни активни бота. По-специално, от август изследователите са идентифицирали 1,3 милиона уникални IP адреса, свързани с ботнета, като мнозинството от тях са разположени в Бразилия. Bigpanzi използва методи като заразяване на устройства чрез актуализации на фърмуера или манипулиране на потребителите да инсталират компрометирани приложения несъзнателно.

Тези инфекции служат като източник на приходи за киберпрестъпниците, които трансформират компрометирани устройства в възли за различни незаконни дейности, включително незаконни платформи за поточно предаване на медии, прокси мрежи за трафик, рояци за разпределен отказ на услуга (DDoS) и предоставяне на съдържание Over-The-Top (OTT) .

Ботнет операцията Bigpanzi внедрява допълнителни заплахи от зловреден софтуер

Операцията за киберпрестъпления, провеждана от Bigpanzi, използва два персонализирани инструмента за зловреден софтуер, известни като „pandoraspear“ и „pcdn“.

Pandoraspear функционира като троянски кон за задната врата, който завладява контрола върху настройките на DNS, установява комуникация със сървър за командване и контрол (C2) и изпълнява команди, получени от сървъра C2. Зловреден софтуер поддържа набор от команди, което му позволява да манипулира настройките на DNS, да инициира DDoS атаки, да се самоактуализира, да създава обратни черупки, да управлява комуникацията с C2 и да изпълнява произволни команди на ОС. За да избегне откриването, Pandoraspear използва усъвършенствани техники, като модифицирана UPX обвивка, динамично свързване, OLLVM компилация и механизми за отстраняване на грешки.

Pcdn, от друга страна, се използва за изграждане на Peer-to-Peer (P2P) мрежа за разпространение на съдържание (CDN) на заразени устройства и притежава DDoS възможности за допълнително въоръжение на тези устройства.

Ботнетът Bigpanzi има глобален обхват

По време на пиковите периоди ботнетът Bigpanzi може да се похвали със 170 000 ежедневни бота, а от август 2023 г. изследователите са идентифицирали над 1,3 милиона отделни IP адреси, свързани с ботнета. Въпреки това, поради периодичната активност на компрометираните телевизионни кутии и ограниченията във видимостта на анализаторите за киберсигурност, е много вероятно реалният размер на ботнета да надвишава тези числа. През последните осем години Bigpanzi изглежда е действал тайно, натрупвайки богатство дискретно. С напредването на техните операции се наблюдава забележимо разпространение на проби, имена на домейни и IP адреси.

Изследователите предполагат, че като се има предвид огромността и сложността на мрежата, техните открития само надраскват повърхността на това, което Bigpanzi наистина включва. Досега експертите по информационна сигурност не са разкрили подробности относно приписването на операцията на ботнет. Въпреки това, анализът на заплахата от pcdn ги отведе до подозрителен канал в YouTube, за който се смята, че е под контрола на определена компания.

Вектори на инфекция, експлоатирани от заплахите зад Bigpanzi

Киберпрестъпната група се фокусира върху платформите Android и eCos, като използва три различни метода за заразяване на потребителски устройства:

• Пиратски филмови и телевизионни приложения (Android) : Bigpanzi използва пиратски приложения, свързани с филми и телевизионни предавания на устройства с Android. Потребителите несъзнателно изтеглят и инсталират тези заплашителни приложения, осигурявайки входна точка за ботнета за компрометиране на устройствата.
• Заден генеричен OTA фърмуер (Android) : Друг метод включва манипулиране на актуализации на фърмуера по въздуха (OTA) на устройства с Android. Киберпрестъпниците въвеждат задни врати в тези актуализации, което им позволява да използват уязвимости по време на инсталационния процес и да получат неоторизиран достъп до устройствата.
• Фърмуер със заден ход „SmartUpTool“ (eCos) : За устройства, работещи на платформата eCos, Bigpanzi е насочен към конкретен фърмуер, наречен „SmartUpTool“. Киберпрестъпниците компрометират този фърмуер, като въвеждат задни врати, което им позволява да проникнат и контролират устройства, захранвани от eCos.

Използвайки тези три метода, Bigpanzi осигурява разнообразна гама от вектори на атака, експлоатиращи нищо неподозиращи потребители, които се занимават с пиратско съдържание или актуализират своите устройства чрез компрометиран фърмуер.