Bigpanzi botnet

Egy korábban azonosítatlan kiberbűnözői szervezet, a „Bigpanzi” legalább 2015 óta jelentős nyereséget termel az Android TV és az eCos set-top boxok globális kompromittálásával. A kutatók szerint ez a fenyegetett csoport egy kiterjedt botnetet kezel, amely napi körülbelül 170 000 aktív robotot tartalmaz. Nevezetesen, augusztus óta a kutatók 1,3 millió egyedi IP-címet azonosítottak, amelyek a botnethez kapcsolódnak, többségük Brazíliában található. A Bigpanzi olyan módszereket alkalmaz, mint például az eszközök megfertőzése firmware-frissítésekkel, vagy a felhasználók manipulálása a feltört alkalmazások tudtán kívüli telepítésére.

Ezek a fertőzések bevételi forrásként szolgálnak a kiberbűnözők számára, akik a feltört eszközöket csomópontokká alakítják át különféle tiltott tevékenységekhez, ideértve az illegális média streaming platformokat, a forgalom proxyhálózatait, az elosztott szolgáltatásmegtagadási (DDoS) rajokat és az Over-The-Top (OTT) tartalomszolgáltatást. .

A Bigpanzi botnet-művelet további rosszindulatú programokat is bevet

A Bigpanzi által végrehajtott kiberbűnözés elleni művelet két egyéni rosszindulatú szoftvert alkalmaz, amelyek a „pandoraspear” és a „pcdn” néven ismertek.

A Pandoraspear hátsóajtós trójaiként működik, átveszi a DNS-beállítások vezérlését, kommunikációt létesít a Command and Control (C2) szerverrel, és végrehajtja a C2 szervertől kapott parancsokat. A rosszindulatú program számos parancsot támogat, lehetővé téve a DNS-beállítások manipulálását, DDoS-támadások kezdeményezését, önfrissítést, fordított héjak létrehozását, a C2-vel való kommunikáció kezelését és tetszőleges operációs rendszer-parancsok végrehajtását. Az észlelés elkerülése érdekében a Pandoraspear kifinomult technikákat alkalmaz, például módosított UPX-héjat, dinamikus linkelést, OLLVM-összeállítást és hibakeresési mechanizmusokat.

A Pcdn-t ezzel szemben Peer-to-Peer (P2P) tartalomelosztó hálózat (CDN) létrehozására használják a fertőzött eszközökön, és DDoS képességekkel rendelkezik ezen eszközök további fegyverezésére.

A Bigpanzi botnet globális hatókörrel rendelkezik

Csúcsidőben a Bigpanzi botnet napi 170 000 bottal büszkélkedhet, és 2023 augusztusa óta a kutatók több mint 1,3 millió különböző IP-címet azonosítottak, amelyek a botnethez kapcsolódnak. A kompromittált TV-boxok időszakos tevékenysége és a kiberbiztonsági elemzők láthatóságának korlátai miatt azonban nagyon valószínű, hogy a botnet valós mérete meghaladja ezeket a számokat. Úgy tűnik, az elmúlt nyolc évben Bigpanzi rejtetten működött, és diszkréten halmozta fel a vagyont. Működésük előrehaladtával a minták, a domain nevek és az IP-címek számottevően szaporodtak.

A kutatók azt sugallják, hogy tekintettel a hálózat hatalmasságára és bonyolultságára, eredményeik csak a felszínt karcolják meg a Bigpanzi valójában. Az információbiztonsági szakértők egyelőre nem árultak el részleteket a botnet-művelet hozzárendelésével kapcsolatban. A pcdn fenyegetés elemzése azonban egy gyanús YouTube-csatornához vezette őket, amelyről úgy gondolják, hogy egy adott cég ellenőrzése alatt áll.

A Bigpanzi mögött álló fenyegető szereplők által kihasznált fertőzésvektorok

A kiberbűnözők csoportja az Android és az eCos platformokra összpontosít, három különböző módszert használva a felhasználói eszközök megfertőzésére:

• Kalózfilm- és TV-alkalmazások (Android) : A Bigpanzi a filmekhez és tévéműsorokhoz kapcsolódó kalóz alkalmazásokat használja fel Android-eszközökön. A felhasználók tudtukon kívül letöltik és telepítik ezeket a fenyegető alkalmazásokat, így belépési pontot biztosítanak a botnet számára az eszközök kompromittálásához.
• Hátsóajtós általános OTA firmware (Android) : Egy másik módszer az éteren keresztüli (OTA) firmware-frissítések manipulálása Android-eszközökön. A kiberbűnözők hátsó ajtókat vezetnek be ezekbe a frissítésekbe, lehetővé téve számukra, hogy kihasználják a sebezhetőségeket a telepítési folyamat során, és illetéktelenül hozzáférjenek az eszközökhöz.
• Hátsóajtós „SmartUpTool” firmware (eCos) : Az eCos platformon működő eszközök esetében a Bigpanzi a „SmartUpTool” nevű speciális firmware-t célozza meg. A kiberbűnözők a hátsó ajtók bevezetésével kompromittálják ezt a firmware-t, lehetővé téve számukra, hogy beszivárogjanak és ellenőrizzék az eCos által működtetett eszközöket.

E három módszer alkalmazásával a Bigpanzi a támadási vektorok széles skáláját biztosítja, kihasználva a gyanútlan felhasználókat, akik kalóz tartalommal lépnek kapcsolatba, vagy frissítik eszközeiket feltört firmware-en keresztül.