Bigpanzi Botnet
Una organització cibercriminal abans no identificada, anomenada "Bigpanzi", ha estat generant beneficis substancials en comprometre els descodificadors Android TV i eCos a nivell mundial des d'almenys el 2015. Segons els investigadors, aquest grup d'amenaces gestiona una extensa botnet que inclou uns 170.000 bots actius diaris. En particular, des de l'agost, els investigadors han identificat 1,3 milions d'adreces IP úniques vinculades a la botnet, la majoria ubicades al Brasil. Bigpanzi utilitza mètodes com ara infectar dispositius mitjançant actualitzacions de microprogramari o manipular els usuaris perquè instal·lin aplicacions compromeses sense saber-ho.
Aquestes infeccions serveixen com a font d'ingressos per als ciberdelinqüents que transformen els dispositius compromesos en nodes per a diverses activitats il·lícites, incloses les plataformes de transmissió de mitjans il·legals, les xarxes de proxy de trànsit, els eixams de denegació de servei distribuït (DDoS) i la prestació de contingut per sobre de la part superior (OTT). .
Taula de continguts
L’operació Bigpanzi Botnet desplega amenaces de programari maliciós addicionals
L'operació de ciberdelinqüència realitzada per Bigpanzi utilitza dues eines personalitzades de programari maliciós conegudes com "pandoraspear" i "pcdn".
Pandoraspear funciona com un troià de porta posterior, agafant el control de la configuració del DNS, establint comunicació amb un servidor d'ordres i control (C2) i executant ordres rebudes del servidor C2. El programari maliciós admet una sèrie d'ordres, que li permeten manipular la configuració de DNS, iniciar atacs DDoS, autoactualitzar-se, crear shells inversos, gestionar la comunicació amb el C2 i executar ordres arbitràries del sistema operatiu. Per evitar la detecció, Pandoraspear utilitza tècniques sofisticades, com ara un shell UPX modificat, enllaç dinàmic, compilació OLLVM i mecanismes antidepuració.
Pcdn, d'altra banda, s'utilitza per construir una xarxa de distribució de contingut (CDN) d'igual a igual (P2P) en dispositius infectats i té capacitats DDoS per armar encara més aquests dispositius.
La botnet Bigpanzi té abast global
Durant les hores punta, la botnet Bigpanzi compta amb 170.000 bots diaris i, des de l'agost de 2023, els investigadors han identificat més d'1,3 milions d'IP diferents associades a la botnet. Tanmateix, a causa de l'activitat intermitent de les caixes de televisió compromeses i les limitacions en la visibilitat dels analistes de ciberseguretat, és molt probable que la mida real de la botnet superi aquestes xifres. Durant els últims vuit anys, Bigpanzi sembla haver operat encobert, acumulant riquesa de manera discreta. A mesura que avançaven les seves operacions, hi ha hagut una notable proliferació de mostres, noms de domini i adreces IP.
Els investigadors suggereixen que donada l'enormitat i la complexitat de la xarxa, les seves troballes només ratllen la superfície del que realment implica Bigpanzi. Fins ara, els experts en seguretat de la informació no han revelat cap detall sobre l'atribució de l'operació de la botnet. No obstant això, una anàlisi de l'amenaça pcdn els ha portat a un canal de YouTube sospitós que es creu que està sota el control d'una empresa concreta.
Vectors d’infecció explotats pels actors d’amenaça darrere de Bigpanzi
El grup cibercriminal se centra en les plataformes Android i eCos, utilitzant tres mètodes diferents per infectar els dispositius dels usuaris:
- Aplicacions de pel·lícules i televisió pirates (Android) : Bigpanzi aprofita aplicacions pirates relacionades amb pel·lícules i programes de televisió en dispositius Android. Els usuaris descarreguen i instal·len sense saber-ho aquestes aplicacions amenaçadores, proporcionant un punt d'entrada perquè la botnet comprometi els dispositius.
- Microprogramari OTA genèric amb porta posterior (Android) : un altre mètode consisteix a manipular les actualitzacions de microprogramari a l'aire (OTA) en dispositius Android. Els ciberdelinqüents introdueixen portes del darrere en aquestes actualitzacions, cosa que els permet explotar vulnerabilitats durant el procés d'instal·lació i obtenir accés no autoritzat als dispositius.
- Microprogramari "SmartUpTool" amb porta posterior (eCos) : per als dispositius que operen a la plataforma eCos, Bigpanzi s'orienta a un microprogramari específic anomenat "SmartUpTool". Els ciberdelinqüents comprometen aquest firmware introduint portes del darrere, que els permeten infiltrar-se i controlar dispositius alimentats per eCos.
Mitjançant l'ús d'aquests tres mètodes, Bigpanzi garanteix una àmplia gamma de vectors d'atac, aprofitant usuaris desprevinguts que participen amb contingut piratejat o actualitzen els seus dispositius mitjançant un microprogramari compromès.
