Bigpanzi Botnet

En tidligere uidentifisert cyberkriminell organisasjon, kalt 'Bigpanzi', har generert betydelig fortjeneste ved å kompromittere Android TV og eCos set-top-bokser globalt siden minst 2015. Ifølge forskere administrerer denne trusselgruppen et omfattende botnett som består av rundt 170 000 daglige aktive roboter. Spesielt siden august har forskere identifisert 1,3 millioner unike IP-adresser knyttet til botnettet, med flertallet lokalisert i Brasil. Bigpanzi bruker metoder som å infisere enheter gjennom fastvareoppdateringer eller manipulere brukere til å installere kompromitterte apper uten å vite det.

Disse infeksjonene tjener som en inntektskilde for nettkriminelle som forvandler kompromitterte enheter til noder for ulike ulovlige aktiviteter, inkludert ulovlige mediestrømmeplattformer, trafikkproxynettverk, DDoS-svermer (Distributed Denial of Service) og Over-The-Top (OTT) innholdsforsyning .

Bigpanzi Botnet-operasjonen distribuerer ytterligere trusler mot skadelig programvare

Nettkriminalitetsoperasjonen utført av Bigpanzi bruker to tilpassede skadevareverktøy kjent som 'pandoraspear' og 'pcdn.'

Pandoraspear fungerer som en bakdørstrojaner, tar kontroll over DNS-innstillinger, etablerer kommunikasjon med en Command and Control-server (C2) og utfører kommandoer mottatt fra C2-serveren. Skadevaren støtter en rekke kommandoer, som lar den manipulere DNS-innstillinger, initiere DDoS-angrep, selvoppdatere, lage omvendte skall, administrere kommunikasjon med C2 og utføre vilkårlige OS-kommandoer. For å unngå deteksjon bruker Pandoraspear sofistikerte teknikker, som et modifisert UPX-skall, dynamisk kobling, OLLVM-kompilering og anti-feilsøkingsmekanismer.

Pcdn, på den annen side, brukes til å konstruere et Peer-to-Peer (P2P) innholdsdistribusjonsnettverk (CDN) på infiserte enheter og har DDoS-funksjoner for å bevæpne disse enhetene ytterligere.

Bigpanzi Botnet har global rekkevidde

I høye perioder har Bigpanzi-botnettet 170 000 daglige roboter, og siden august 2023 har forskere identifisert over 1,3 millioner forskjellige IP-er knyttet til botnettet. Men på grunn av den periodiske aktiviteten til kompromitterte TV-bokser og begrensninger i cybersikkerhetsanalytikeres synlighet, er det høyst sannsynlig at den virkelige størrelsen på botnettet overgår disse tallene. I løpet av de siste åtte årene ser det ut til at Bigpanzi har operert skjult og akkumulert rikdom diskret. Etter hvert som deres operasjoner utviklet seg, har det vært en bemerkelsesverdig spredning av prøver, domenenavn og IP-adresser.

Forskere antyder at gitt nettverkets enormitet og intrikate, skraper funnene deres bare i overflaten av hva Bigpanzi virkelig innebærer. Så langt har ikke informasjonssikkerhetseksperter avslørt noen detaljer angående tilskrivelsen av botnett-operasjonen. Imidlertid har en analyse av pcdn-trusselen ført dem til en mistenkelig YouTube-kanal som antas å være under kontroll av et bestemt selskap.

Infeksjonsvektorer utnyttet av trusselaktørene bak Bigpanzi

Den nettkriminelle gruppen fokuserer på Android- og eCos-plattformer, og bruker tre forskjellige metoder for å infisere brukerenheter:

• Piratkopierte film- og TV-apper (Android) : Bigpanzi utnytter piratkopierte apper relatert til filmer og TV-programmer på Android-enheter. Brukere laster ubevisst ned og installerer disse truende applikasjonene, og gir et inngangspunkt for botnettet for å kompromittere enhetene.
• Bakdørs generisk OTA-fastvare (Android) : En annen metode innebærer å manipulere over-the-air (OTA) fastvareoppdateringer på Android-enheter. Nettkriminelle introduserer bakdører i disse oppdateringene, slik at de kan utnytte sårbarheter under installasjonsprosessen og få uautorisert tilgang til enhetene.
• Bakdørs "SmartUpTool"-fastvare (eCos) : For enheter som opererer på eCos-plattformen, retter Bigpanzi seg mot en spesifikk fastvare kalt "SmartUpTool". Nettkriminelle kompromitterer denne fastvaren ved å introdusere bakdører, som gjør dem i stand til å infiltrere og kontrollere enheter drevet av eCos.

Ved å bruke disse tre metodene, sikrer Bigpanzi et mangfoldig utvalg av angrepsvektorer, og utnytter intetanende brukere som engasjerer seg med piratkopiert innhold eller oppdaterer enhetene sine gjennom kompromittert fastvare.