Bigpanzi botnet

Prethodno neidentificirana kibernetička kriminalna organizacija, nazvana 'Bigpanzi', generira znatnu zaradu kompromitirajući Android TV i eCos set-top boxove na globalnoj razini od najmanje 2015. Prema istraživačima, ova prijetnja skupina upravlja opsežnim botnetom koji se sastoji od oko 170.000 dnevno aktivnih botova. Naime, od kolovoza su istraživači identificirali 1,3 milijuna jedinstvenih IP adresa povezanih s botnetom, a većina se nalazi u Brazilu. Bigpanzi koristi metode kao što je zaraza uređaja putem ažuriranja firmvera ili manipuliranje korisnicima da nesvjesno instaliraju ugrožene aplikacije.

Ove infekcije služe kao izvor prihoda za kibernetičke kriminalce koji pretvaraju kompromitirane uređaje u čvorove za razne nedopuštene aktivnosti, uključujući ilegalne platforme za strujanje medija, mreže za proxy promet, rojeve distribuiranog uskraćivanja usluge (DDoS) i pružanje sadržaja preko vrha (OTT). .

Operacija Bigpanzi Botnet postavlja dodatne prijetnje zlonamjernim softverom

Operacija kibernetičkog kriminala koju provodi Bigpanzi koristi dva prilagođena zlonamjerna alata poznata kao 'pandoraspear' i 'pcdn'.

Pandoraspear funkcionira kao backdoor trojanac, preuzima kontrolu nad DNS postavkama, uspostavlja komunikaciju s Command and Control (C2) poslužiteljem i izvršava naredbe primljene od C2 poslužitelja. Zlonamjerni softver podržava niz naredbi, omogućujući mu manipuliranje DNS postavkama, pokretanje DDoS napada, samostalno ažuriranje, stvaranje obrnutih ljuski, upravljanje komunikacijom s C2 i izvršavanje proizvoljnih OS naredbi. Kako bi izbjegao otkrivanje, Pandoraspear koristi sofisticirane tehnike, kao što je modificirana UPX ljuska, dinamičko povezivanje, OLLVM kompilacija i mehanizmi za uklanjanje pogrešaka.

Pcdn se, s druge strane, koristi za izgradnju Peer-to-Peer (P2P) mreže za distribuciju sadržaja (CDN) na zaraženim uređajima i posjeduje DDoS mogućnosti za daljnje naoružavanje ovih uređaja.

Bigpanzi botnet ima globalni doseg

Tijekom vršnih razdoblja, Bigpanzi botnet može se pohvaliti sa 170.000 dnevnih botova, a od kolovoza 2023. istraživači su identificirali preko 1,3 milijuna različitih IP adresa povezanih s botnetom. Međutim, zbog povremene aktivnosti kompromitiranih TV kutija i ograničenja u vidljivosti analitičara kibernetičke sigurnosti, vrlo je vjerojatno da stvarna veličina botneta premašuje ove brojke. Tijekom proteklih osam godina, čini se da je Bigpanzi djelovao tajno, diskretno gomilajući bogatstvo. Kako su njihove operacije napredovale, došlo je do značajnog porasta uzoraka, naziva domena i IP adresa.

Istraživači sugeriraju da s obzirom na golemost i zamršenost mreže, njihova otkrića samo zagrebu površinu onoga što Bigpanzi doista podrazumijeva. Do sada stručnjaci za informacijsku sigurnost nisu otkrili nikakve detalje u vezi s pripisivanjem operacije botneta. Međutim, analiza prijetnje pcdn dovela ih je do sumnjivog YouTube kanala za koji se vjeruje da je pod kontrolom određene tvrtke.

Vektori infekcije koje iskorištavaju akteri prijetnje iza Bigpanzija

Grupa kibernetičkog kriminala usredotočena je na platforme Android i eCos, koristeći tri različite metode za zarazu korisničkih uređaja:

• Piratske filmske i TV aplikacije (Android) : Bigpanzi koristi piratske aplikacije povezane s filmovima i TV emisijama na Android uređajima. Korisnici nesvjesno preuzimaju i instaliraju ove prijeteće aplikacije, pružajući ulaznu točku za botnet za kompromitiranje uređaja.
• Backdoored generički OTA firmware (Android) : Druga metoda uključuje manipuliranje OTA (over-the-air) ažuriranjima firmvera na Android uređajima. Kibernetički kriminalci uvode stražnja vrata u ova ažuriranja, omogućujući im da iskoriste ranjivosti tijekom procesa instalacije i dobiju neovlašteni pristup uređajima.
• Backdoored 'SmartUpTool' firmware (eCos) : Za uređaje koji rade na eCos platformi, Bigpanzi cilja na određeni firmware pod nazivom 'SmartUpTool'. Cyberkriminalci kompromitiraju ovaj firmware uvođenjem stražnjih vrata, što im omogućuje infiltraciju i kontrolu uređaja koje pokreće eCos.

Upotrebom ove tri metode, Bigpanzi osigurava raznolik raspon vektora napada, iskorištavajući korisnike koji ništa ne sumnjaju i koji se bave piratskim sadržajem ili ažuriraju svoje uređaje putem kompromitiranog firmvera.