Bigpanzi botnetas
Anksčiau nenustatyta kibernetinių nusikaltėlių organizacija, pavadinta „Bigpanzi“, mažiausiai nuo 2015 m. visame pasaulyje uždirbo didelį pelną, pažeidžiant „Android TV“ ir „eCos“ priedus. Tyrėjų teigimu, ši grėsmės grupė valdo platų robotų tinklą, kurį sudaro apie 170 000 kasdien veikiančių robotų. Pažymėtina, kad nuo rugpjūčio mokslininkai nustatė 1,3 milijono unikalių IP adresų, susietų su robotų tinklu, kurių dauguma yra Brazilijoje. „Bigpanzi“ naudoja tokius metodus kaip įrenginių užkrėtimas atnaujinant programinę-aparatinę įrangą arba manipuliavimas naudotojais, kad jie nesąmoningai įdiegtų pažeistas programas.
Šios infekcijos yra pajamų šaltinis kibernetiniams nusikaltėliams, kurie paverčia pažeistus įrenginius į mazgus įvairiai neteisėtai veiklai, įskaitant nelegalias žiniasklaidos srautinio perdavimo platformas, srauto tarpinio serverio tinklus, paskirstyto paslaugų atsisakymo (DDoS) spiečių ir turinio teikimą „Over-The-Top“ (OTT). .
Turinys
„Bigpanzi Botnet“ operacija kelia papildomų kenkėjiškų programų grėsmių
Bigpanzi vykdomoje kibernetinių nusikaltimų operacijoje naudojami du pasirinktiniai kenkėjiškų programų įrankiai, žinomi kaip „pandoraspear“ ir „pcdn“.
Pandoraspear veikia kaip užpakalinių durų Trojos arklys, perimantis DNS nustatymų valdymą, užmezgantis ryšį su komandų ir valdymo (C2) serveriu ir vykdantis komandas, gautas iš C2 serverio. Kenkėjiška programa palaiko daugybę komandų, leidžiančių manipuliuoti DNS nustatymais, inicijuoti DDoS atakas, savarankiškai atnaujinti, kurti atvirkštinius apvalkalus, valdyti ryšį su C2 ir vykdyti savavališkas OS komandas. Kad išvengtų aptikimo, Pandoraspear naudoja sudėtingas technologijas, tokias kaip modifikuotas UPX apvalkalas, dinaminis susiejimas, OLLVM kompiliavimas ir apsaugos nuo derinimo mechanizmai.
Kita vertus, Pcdn naudojamas lygiarangio (P2P) turinio paskirstymo tinklui (CDN) sukurti užkrėstuose įrenginiuose ir turi DDoS galimybes, kad būtų galima toliau ginkluoti šiuos įrenginius.
„Bigpanzi“ botnetas turi pasaulinį pasiekiamumą
Piko metu „Bigpanzi“ robotų tinklas gali pasigirti 170 000 kasdienių robotų, o nuo 2023 m. rugpjūčio mėn. mokslininkai nustatė daugiau nei 1,3 mln. skirtingų IP, susijusių su robotų tinklu. Tačiau dėl nuolatinio pažeistų TV priedų veiklos ir kibernetinio saugumo analitikų matomumo apribojimų labai tikėtina, kad tikrasis robotų tinklo dydis viršija šiuos skaičius. Atrodo, kad per pastaruosius aštuonerius metus Bigpanzi veikė slaptai, diskretiškai kaupdamas turtus. Tobulėjant jų veiklai, labai daugėjo pavyzdžių, domenų vardų ir IP adresų.
Tyrėjai teigia, kad atsižvelgiant į tinklo milžiniškumą ir sudėtingumą, jų išvados tik subraižo tai, ką iš tikrųjų reiškia Bigpanzi. Kol kas informacijos saugumo ekspertai neatskleidė jokių detalių dėl botneto veiklos priskyrimo. Tačiau pcdn grėsmės analizė atvedė juos į įtartiną „YouTube“ kanalą, kurį, kaip manoma, kontroliuoja konkreti įmonė.
Infekcijos vektoriai, kuriuos išnaudoja Bigpanzi grėsmių veikėjai
Kibernetinių nusikaltėlių grupė daugiausia dėmesio skiria „Android“ ir „eCos“ platformoms, naudodama tris skirtingus vartotojų įrenginių užkrėtimo būdus:
- Piratinių filmų ir TV programos („Android“) : „Bigpanzi“ naudoja piratines programas, susijusias su filmais ir TV laidomis „Android“ įrenginiuose. Vartotojai nesąmoningai atsisiunčia ir įdiegia šias grėsmingas programas, suteikdami įėjimo tašką botnetui, kad galėtų pažeisti įrenginius.
- Užpakalinė bendroji OTA programinė aparatinė įranga („Android“) : Kitas metodas apima manipuliavimą belaidžiu (OTA) programinės aparatinės įrangos naujinimu „Android“ įrenginiuose. Kibernetiniai nusikaltėliai šiuose atnaujinimuose įveda užpakalines duris, leidžiančias išnaudoti pažeidžiamumą diegimo proceso metu ir gauti neteisėtą prieigą prie įrenginių.
- „SmartUpTool“ programinė įranga (eCos) su užpakalinėmis durimis : įrenginiuose, kurie veikia „eCos“ platformoje, „Bigpanzi“ taiko konkrečią programinę-aparatinę įrangą, pavadintą „SmartUpTool“. Kibernetiniai nusikaltėliai sukompromituoja šią programinę-aparatinę įrangą, įvesdami užpakalines duris, leidžiančias jiems įsiskverbti ir valdyti įrenginius, maitinamus eCos.
Naudodama šiuos tris metodus, Bigpanzi užtikrina įvairius atakų vektorius, išnaudodama nieko neįtariančius vartotojus, kurie naudojasi piratiniu turiniu arba atnaujina savo įrenginius per pažeistą programinę-aparatinę įrangą.
