Bigpanzi Botnet
یک سازمان مجرم سایبری که قبلاً نامشخص بود، به نام Bigpanzi، حداقل از سال 2015 با به خطر انداختن ستتاپ باکسهای Android TV و eCos در سطح جهان، سود قابل توجهی به دست آورده است. به گفته محققان، این گروه تهدید یک بات نت گسترده شامل حدود 170000 ربات فعال روزانه را مدیریت میکند. قابل ذکر است، از ماه آگوست، محققان 1.3 میلیون آدرس IP منحصر به فرد مرتبط با بات نت را شناسایی کرده اند که اکثر آنها در برزیل قرار دارند. Bigpanzi از روش هایی مانند آلوده کردن دستگاه ها از طریق به روز رسانی سیستم عامل یا دستکاری کاربران برای نصب برنامه های در معرض خطر استفاده می کند.
این آلودگیها به عنوان منبع درآمدی برای مجرمان سایبری عمل میکنند که دستگاههای در معرض خطر را به گرههایی برای فعالیتهای غیرقانونی مختلف، از جمله پلتفرمهای پخش غیرقانونی رسانه، شبکههای پروکسی ترافیک، گروههای انکار سرویس توزیعشده (DDoS) و ارائه محتوای بیش از حد (OTT) تبدیل میکنند. .
فهرست مطالب
عملیات باتنت Bigpanzi تهدیدهای بدافزار دیگری را مستقر میکند
عملیات جرایم سایبری انجام شده توسط Bigpanzi از دو ابزار بدافزار سفارشی به نامهای «pandoraspear» و «pcdn» استفاده میکند.
Pandoraspear به عنوان یک تروجان درب پشتی عمل می کند، کنترل تنظیمات DNS را به دست می گیرد، ارتباط با یک سرور Command and Control (C2) برقرار می کند و دستورات دریافتی از سرور C2 را اجرا می کند. این بدافزار از طیف وسیعی از دستورات پشتیبانی می کند و به آن امکان می دهد تنظیمات DNS را دستکاری کند، حملات DDoS را آغاز کند، خود به روز شود، پوسته های معکوس ایجاد کند، ارتباط با C2 را مدیریت کند و دستورات سیستم عامل دلخواه را اجرا کند. برای فرار از تشخیص، Pandoraspear از تکنیکهای پیچیدهای مانند پوسته اصلاحشده UPX، پیوند پویا، کامپایل OLLVM و مکانیسمهای ضد اشکالزدایی استفاده میکند.
از سوی دیگر، PCdn برای ساخت شبکه توزیع محتوای همتا به همتا (P2P) (CDN) روی دستگاههای آلوده استفاده میشود و دارای قابلیتهای DDoS برای تسلیح بیشتر این دستگاهها است.
بات نت Bigpanzi دارای دسترسی جهانی است
در زمان اوج مصرف، باتنت Bigpanzi دارای 170000 ربات روزانه است و از آگوست 2023، محققان بیش از 1.3 میلیون IP مجزا مرتبط با باتنت را شناسایی کردهاند. با این حال، به دلیل فعالیت متناوب جعبههای تلویزیونی آسیبدیده و محدودیتهایی که در دید تحلیلگران امنیت سایبری وجود دارد، به احتمال زیاد اندازه واقعی باتنت از این اعداد فراتر رفته است. در طول هشت سال گذشته، به نظر میرسد که Bigpanzi به صورت مخفیانه عمل کرده و ثروت خود را با احتیاط جمع آوری کرده است. با پیشرفت عملیات آنها، تعداد قابل توجهی از نمونه ها، نام های دامنه و آدرس های IP افزایش یافته است.
محققان پیشنهاد می کنند که با توجه به عظمت و پیچیدگی شبکه، یافته های آنها فقط سطح آنچه را که Bigpanzi واقعاً مستلزم آن است خراش می دهد. تا کنون، کارشناسان امنیت اطلاعات هیچ جزئیاتی در مورد انتساب عملیات بات نت فاش نکرده اند. با این حال، تجزیه و تحلیل تهدید pcdn آنها را به یک کانال مشکوک یوتیوب هدایت کرد که گمان می رود تحت کنترل یک شرکت خاص باشد.
ناقلین عفونت که توسط بازیگران تهدید در پشت Bigpanzi مورد سوء استفاده قرار می گیرند
گروه مجرمان سایبری بر روی پلتفرمهای اندروید و eCos تمرکز میکنند و از سه روش متمایز برای آلوده کردن دستگاههای کاربر استفاده میکنند:
- برنامههای فیلم و تلویزیون دزدی دریایی (اندروید) : Bigpanzi از برنامههای غیرقانونی مرتبط با فیلمها و نمایشهای تلویزیونی در دستگاههای Android استفاده میکند. کاربران ناآگاهانه این برنامههای تهدیدآمیز را دانلود و نصب میکنند و یک نقطه ورود برای باتنت فراهم میکنند تا دستگاهها را در معرض خطر قرار دهد.
- سیستم عامل OTA عمومی Backdoored (Android) : روش دیگر شامل دستکاری بهروزرسانیهای میانافزار هوایی (OTA) در دستگاههای Android است. مجرمان سایبری درهای پشتی را به این بهروزرسانیها وارد میکنند و به آنها اجازه میدهند در طول فرآیند نصب از آسیبپذیریها سوء استفاده کنند و به دستگاهها دسترسی غیرمجاز پیدا کنند.
- میانافزار «SmartUpTool» (eCos) : برای دستگاههایی که روی پلتفرم eCos کار میکنند، Bigpanzi یک میانافزار خاص به نام «SmartUpTool» را هدف قرار میدهد. مجرمان سایبری با معرفی درهای پشتی، این سیستم عامل را به خطر می اندازند و آنها را قادر می سازند تا به دستگاه هایی که توسط eCos طراحی شده اند نفوذ کرده و آن ها را کنترل کنند.
Bigpanzi با استفاده از این سه روش، طیف متنوعی از بردارهای حمله را تضمین میکند و از کاربران ناآگاهی که با محتوای دزدی درگیر میشوند یا دستگاههای خود را از طریق سیستمافزار آسیبدیده بهروزرسانی میکنند، سوءاستفاده میکند.