Bigpanzi Botnet

یک سازمان مجرم سایبری که قبلاً نامشخص بود، به نام Bigpanzi، حداقل از سال 2015 با به خطر انداختن ست‌تاپ باکس‌های Android TV و eCos در سطح جهان، سود قابل توجهی به دست آورده است. به گفته محققان، این گروه تهدید یک بات نت گسترده شامل حدود 170000 ربات فعال روزانه را مدیریت می‌کند. قابل ذکر است، از ماه آگوست، محققان 1.3 میلیون آدرس IP منحصر به فرد مرتبط با بات نت را شناسایی کرده اند که اکثر آنها در برزیل قرار دارند. Bigpanzi از روش هایی مانند آلوده کردن دستگاه ها از طریق به روز رسانی سیستم عامل یا دستکاری کاربران برای نصب برنامه های در معرض خطر استفاده می کند.

این آلودگی‌ها به عنوان منبع درآمدی برای مجرمان سایبری عمل می‌کنند که دستگاه‌های در معرض خطر را به گره‌هایی برای فعالیت‌های غیرقانونی مختلف، از جمله پلت‌فرم‌های پخش غیرقانونی رسانه، شبکه‌های پروکسی ترافیک، گروه‌های انکار سرویس توزیع‌شده (DDoS) و ارائه محتوای بیش از حد (OTT) تبدیل می‌کنند. .

عملیات بات‌نت Bigpanzi تهدیدهای بدافزار دیگری را مستقر می‌کند

عملیات جرایم سایبری انجام شده توسط Bigpanzi از دو ابزار بدافزار سفارشی به نام‌های «pandoraspear» و «pcdn» استفاده می‌کند.

Pandoraspear به عنوان یک تروجان درب پشتی عمل می کند، کنترل تنظیمات DNS را به دست می گیرد، ارتباط با یک سرور Command and Control (C2) برقرار می کند و دستورات دریافتی از سرور C2 را اجرا می کند. این بدافزار از طیف وسیعی از دستورات پشتیبانی می کند و به آن امکان می دهد تنظیمات DNS را دستکاری کند، حملات DDoS را آغاز کند، خود به روز شود، پوسته های معکوس ایجاد کند، ارتباط با C2 را مدیریت کند و دستورات سیستم عامل دلخواه را اجرا کند. برای فرار از تشخیص، Pandoraspear از تکنیک‌های پیچیده‌ای مانند پوسته اصلاح‌شده UPX، پیوند پویا، کامپایل OLLVM و مکانیسم‌های ضد اشکال‌زدایی استفاده می‌کند.

از سوی دیگر، PCdn برای ساخت شبکه توزیع محتوای همتا به همتا (P2P) (CDN) روی دستگاه‌های آلوده استفاده می‌شود و دارای قابلیت‌های DDoS برای تسلیح بیشتر این دستگاه‌ها است.

بات نت Bigpanzi دارای دسترسی جهانی است

در زمان اوج مصرف، بات‌نت Bigpanzi دارای 170000 ربات روزانه است و از آگوست 2023، محققان بیش از 1.3 میلیون IP مجزا مرتبط با بات‌نت را شناسایی کرده‌اند. با این حال، به دلیل فعالیت متناوب جعبه‌های تلویزیونی آسیب‌دیده و محدودیت‌هایی که در دید تحلیلگران امنیت سایبری وجود دارد، به احتمال زیاد اندازه واقعی بات‌نت از این اعداد فراتر رفته است. در طول هشت سال گذشته، به نظر می‌رسد که Bigpanzi به صورت مخفیانه عمل کرده و ثروت خود را با احتیاط جمع آوری کرده است. با پیشرفت عملیات آنها، تعداد قابل توجهی از نمونه ها، نام های دامنه و آدرس های IP افزایش یافته است.

محققان پیشنهاد می کنند که با توجه به عظمت و پیچیدگی شبکه، یافته های آنها فقط سطح آنچه را که Bigpanzi واقعاً مستلزم آن است خراش می دهد. تا کنون، کارشناسان امنیت اطلاعات هیچ جزئیاتی در مورد انتساب عملیات بات نت فاش نکرده اند. با این حال، تجزیه و تحلیل تهدید pcdn آنها را به یک کانال مشکوک یوتیوب هدایت کرد که گمان می رود تحت کنترل یک شرکت خاص باشد.

ناقلین عفونت که توسط بازیگران تهدید در پشت Bigpanzi مورد سوء استفاده قرار می گیرند

گروه مجرمان سایبری بر روی پلتفرم‌های اندروید و eCos تمرکز می‌کنند و از سه روش متمایز برای آلوده کردن دستگاه‌های کاربر استفاده می‌کنند:

• برنامه‌های فیلم و تلویزیون دزدی دریایی (اندروید) : Bigpanzi از برنامه‌های غیرقانونی مرتبط با فیلم‌ها و نمایش‌های تلویزیونی در دستگاه‌های Android استفاده می‌کند. کاربران ناآگاهانه این برنامه‌های تهدیدآمیز را دانلود و نصب می‌کنند و یک نقطه ورود برای بات‌نت فراهم می‌کنند تا دستگاه‌ها را در معرض خطر قرار دهد.
• سیستم عامل OTA عمومی Backdoored (Android) : روش دیگر شامل دستکاری به‌روزرسانی‌های میان‌افزار هوایی (OTA) در دستگاه‌های Android است. مجرمان سایبری درهای پشتی را به این به‌روزرسانی‌ها وارد می‌کنند و به آن‌ها اجازه می‌دهند در طول فرآیند نصب از آسیب‌پذیری‌ها سوء استفاده کنند و به دستگاه‌ها دسترسی غیرمجاز پیدا کنند.
• میان‌افزار «SmartUpTool» (eCos) : برای دستگاه‌هایی که روی پلت‌فرم eCos کار می‌کنند، Bigpanzi یک میان‌افزار خاص به نام «SmartUpTool» را هدف قرار می‌دهد. مجرمان سایبری با معرفی درهای پشتی، این سیستم عامل را به خطر می اندازند و آنها را قادر می سازند تا به دستگاه هایی که توسط eCos طراحی شده اند نفوذ کرده و آن ها را کنترل کنند.

Bigpanzi با استفاده از این سه روش، طیف متنوعی از بردارهای حمله را تضمین می‌کند و از کاربران ناآگاهی که با محتوای دزدی درگیر می‌شوند یا دستگاه‌های خود را از طریق سیستم‌افزار آسیب‌دیده به‌روزرسانی می‌کنند، سوءاستفاده می‌کند.