Botnet Bigpanzi
Dříve neidentifikovaná kyberzločinecká organizace nazvaná „Bigpanzi“ generuje značné zisky kompromitováním set-top boxů Android TV a eCos po celém světě minimálně od roku 2015. Podle výzkumníků spravuje tato skupina hrozeb rozsáhlý botnet zahrnující přibližně 170 000 aktivních robotů denně. Pozoruhodné je, že od srpna výzkumníci identifikovali 1,3 milionu jedinečných IP adres spojených s botnetem, přičemž většina se nachází v Brazílii. Bigpanzi využívá metody, jako je infikování zařízení prostřednictvím aktualizací firmwaru nebo manipulace s uživateli, aby si nevědomky instalovali kompromitované aplikace.
Tyto infekce slouží jako zdroj příjmů pro kyberzločince, kteří přeměňují kompromitovaná zařízení na uzly pro různé nezákonné aktivity, včetně nelegálních platforem pro streamování médií, sítí proxy pro provoz, rojů DDoS (Distributed Denial of Service) a poskytování obsahu Over-The-Top (OTT). .
Obsah
Operace Bigpanzi Botnet nasazuje další malwarové hrozby
Operace kyberzločinu vedená společností Bigpanzi využívá dva vlastní malwarové nástroje známé jako „pandoraspear“ a „pcdn“.
Pandoraspear funguje jako backdoor trojan, přebírá kontrolu nad nastavením DNS, navazuje komunikaci se serverem Command and Control (C2) a provádí příkazy přijaté ze serveru C2. Malware podporuje řadu příkazů, které mu umožňují manipulovat s nastavením DNS, iniciovat DDoS útoky, provádět vlastní aktualizaci, vytvářet reverzní shelly, řídit komunikaci s C2 a provádět libovolné příkazy OS. Aby se zabránilo detekci, Pandoraspear využívá sofistikované techniky, jako je modifikovaný UPX shell, dynamické spojování, kompilace OLLVM a mechanismy proti ladění.
Pcdn se na druhé straně používá k vybudování Peer-to-Peer (P2P) Content Distribution Network (CDN) na infikovaných zařízeních a má schopnosti DDoS k dalšímu vyzbrojování těchto zařízení.
Botnet Bigpanzi má globální dosah
Během špiček se botnet Bigpanzi může pochlubit 170 000 roboty denně a od srpna 2023 výzkumníci identifikovali více než 1,3 milionu různých IP adres spojených s botnetem. Vzhledem k občasné aktivitě kompromitovaných televizních boxů a omezení viditelnosti analytiků kybernetické bezpečnosti je však vysoce pravděpodobné, že skutečná velikost botnetu tato čísla překoná. Zdá se, že během posledních osmi let Bigpanzi fungoval skrytě a nenápadně hromadil bohatství. Jak jejich operace pokročily, došlo ke značnému rozšíření vzorků, doménových jmen a IP adres.
Výzkumníci naznačují, že vzhledem k ohromnosti a složitosti sítě jejich nálezy pouze poškrábou povrch toho, co Bigpanzi skutečně obnáší. Odborníci na informační bezpečnost dosud nezveřejnili žádné podrobnosti týkající se přiřazení operace botnetu. Analýza hrozby pcdn je však přivedla na podezřelý kanál YouTube, o kterém se předpokládá, že je pod kontrolou konkrétní společnosti.
Infekční vektory využívané aktéry hrozby za Bigpanzi
Skupina kyberzločinců se zaměřuje na platformy Android a eCos a využívá tři různé metody k infikování uživatelských zařízení:
- Pirátské filmové a televizní aplikace (Android) : Bigpanzi využívá pirátské aplikace související s filmy a televizními pořady na zařízeních Android. Uživatelé si nevědomky stahují a instalují tyto ohrožující aplikace a poskytují tak botnetu vstupní bod ke kompromitaci zařízení.
- Backdoored generic OTA firmware (Android) : Další metoda zahrnuje manipulaci s aktualizacemi firmwaru over-the-air (OTA) na zařízeních Android. Kyberzločinci zavádějí do těchto aktualizací zadní vrátka, která jim umožňují zneužít zranitelnosti během procesu instalace a získat neoprávněný přístup k zařízením.
- Firmware Backdoored 'SmartUpTool' (eCos) : Pro zařízení fungující na platformě eCos se Bigpanzi zaměřuje na konkrétní firmware s názvem 'SmartUpTool.' Kyberzločinci kompromitují tento firmware zavedením zadních vrátek, které jim umožňují infiltrovat a ovládat zařízení poháněná eCos.
Využitím těchto tří metod zajišťuje Bigpanzi rozmanitou škálu vektorů útoků a využívá nic netušící uživatele, kteří se zabývají pirátským obsahem nebo aktualizují svá zařízení prostřednictvím kompromitovaného firmwaru.
