Bigpanzi Botnet
Organisasi penjenayah siber yang tidak dikenali sebelum ini, digelar 'Bigpanzi,' telah menjana keuntungan yang besar dengan menjejaskan kotak set atas Android TV dan eCos di seluruh dunia sejak sekurang-kurangnya 2015. Menurut penyelidik, kumpulan ancaman ini menguruskan botnet yang luas yang terdiri daripada sekitar 170,000 bot aktif setiap hari. Terutamanya, sejak Ogos, penyelidik telah mengenal pasti 1.3 juta alamat IP unik yang dipautkan ke botnet, dengan majoriti terletak di Brazil. Bigpanzi menggunakan kaedah seperti menjangkiti peranti melalui kemas kini perisian tegar atau memanipulasi pengguna untuk memasang apl yang terjejas tanpa disedari.
Jangkitan ini berfungsi sebagai sumber pendapatan untuk penjenayah siber yang mengubah peranti yang terjejas menjadi nod untuk pelbagai aktiviti haram, termasuk platform penstriman media haram, rangkaian proksi trafik, kumpulan Penafian Perkhidmatan (DDoS) Teragih dan peruntukan kandungan Over-The-Top (OTT). .
Isi kandungan
Operasi Botnet Bigpanzi Mengerahkan Ancaman Perisian Hasad Tambahan
Operasi jenayah siber yang dijalankan oleh Bigpanzi menggunakan dua alatan perisian hasad tersuai yang dikenali sebagai 'pandoraspear' dan 'pcdn.'
Pandoraspear berfungsi sebagai Trojan pintu belakang, merampas kawalan tetapan DNS, mewujudkan komunikasi dengan pelayan Perintah dan Kawalan (C2), dan melaksanakan arahan yang diterima daripada pelayan C2. Malware menyokong pelbagai perintah, membolehkannya memanipulasi tetapan DNS, memulakan serangan DDoS, mengemas kini diri, mencipta cengkerang terbalik, mengurus komunikasi dengan C2 dan melaksanakan arahan OS sewenang-wenangnya. Untuk mengelakkan pengesanan, Pandoraspear menggunakan teknik yang canggih, seperti cangkerang UPX yang diubah suai, pemautan dinamik, kompilasi OLLVM dan mekanisme anti-debug.
Pcdn, sebaliknya, digunakan untuk membina Rangkaian Pengedaran Kandungan (P2P) Peer-to-Peer (P2P) pada peranti yang dijangkiti dan mempunyai keupayaan DDoS untuk mempersenjatai peranti ini dengan lebih lanjut.
Bigpanzi Botnet Mempunyai Jangkauan Global
Pada waktu puncak, botnet Bigpanzi mempunyai 170,000 bot setiap hari, dan sejak Ogos 2023, penyelidik telah mengenal pasti lebih 1.3 juta IP berbeza yang dikaitkan dengan botnet. Walau bagaimanapun, disebabkan oleh aktiviti terputus-putus kotak TV yang terjejas dan had dalam keterlihatan penganalisis keselamatan siber, besar kemungkinan saiz sebenar botnet melebihi angka ini. Sepanjang lapan tahun yang lalu, Bigpanzi nampaknya telah beroperasi secara rahsia, mengumpul kekayaan secara diam-diam. Apabila operasi mereka maju, terdapat percambahan ketara bagi sampel, nama domain dan alamat IP.
Penyelidik mencadangkan bahawa memandangkan besarnya dan kerumitan rangkaian, penemuan mereka hanya menconteng permukaan perkara yang sebenarnya diperlukan oleh Bigpanzi. Setakat ini, pakar keselamatan maklumat tidak mendedahkan sebarang butiran mengenai atribusi operasi botnet. Bagaimanapun, analisis terhadap ancaman pcdn telah membawa mereka ke saluran YouTube yang mencurigakan yang dipercayai berada di bawah kawalan syarikat tertentu.
Vektor Jangkitan yang Dieksploitasi oleh Pelakon Ancaman Di Belakang Bigpanzi
Kumpulan penjenayah siber memfokuskan pada platform Android dan eCos, menggunakan tiga kaedah berbeza untuk menjangkiti peranti pengguna:
- Apl filem & TV cetak rompak (Android) : Bigpanzi memanfaatkan aplikasi cetak rompak yang berkaitan dengan filem dan rancangan TV pada peranti Android. Pengguna secara tidak sedar memuat turun dan memasang aplikasi yang mengancam ini, menyediakan titik masuk untuk botnet untuk menjejaskan peranti.
- Perisian tegar OTA generik berpintu belakang (Android) : Kaedah lain melibatkan memanipulasi kemas kini perisian tegar over-the-air (OTA) pada peranti Android. Penjenayah siber memperkenalkan pintu belakang ke dalam kemas kini ini, membolehkan mereka mengeksploitasi kelemahan semasa proses pemasangan dan mendapatkan akses tanpa kebenaran kepada peranti.
- Perisian tegar 'SmartUpTool' berpintu belakang (eCos) : Untuk peranti yang beroperasi pada platform eCos, Bigpanzi menyasarkan perisian tegar khusus bernama 'SmartUpTool.' Penjenayah siber menjejaskan perisian tegar ini dengan memperkenalkan pintu belakang, membolehkan mereka menyusup dan mengawal peranti yang dikuasakan oleh eCos.
Dengan menggunakan tiga kaedah ini, Bigpanzi memastikan pelbagai vektor serangan, mengeksploitasi pengguna yang tidak curiga yang terlibat dengan kandungan cetak rompak atau mengemas kini peranti mereka melalui perisian tegar yang terjejas.
