Bigpanzi-botnet
Een voorheen onbekende cybercriminele organisatie, genaamd 'Bigpanzi', genereert sinds minstens 2015 aanzienlijke winsten door Android TV en eCos-settopboxen wereldwijd te compromitteren. Volgens onderzoekers beheert deze dreigingsgroep een uitgebreid botnet dat bestaat uit ongeveer 170.000 dagelijks actieve bots. Met name sinds augustus hebben onderzoekers 1,3 miljoen unieke IP-adressen geïdentificeerd die aan het botnet zijn gekoppeld, waarvan het merendeel zich in Brazilië bevindt. Bigpanzi maakt gebruik van methoden zoals het infecteren van apparaten via firmware-updates of het manipuleren van gebruikers om onbewust gecompromitteerde apps te installeren.
Deze infecties dienen als inkomstenbron voor cybercriminelen die gecompromitteerde apparaten transformeren in knooppunten voor verschillende illegale activiteiten, waaronder illegale mediastreamingplatforms, proxyingnetwerken voor verkeer, Distributed Denial of Service (DDoS)-zwermen en Over-The-Top (OTT)-inhoudslevering .
Inhoudsopgave
De Bigpanzi Botnet-operatie implementeert extra malwarebedreigingen
De cybercriminaliteitsoperatie uitgevoerd door Bigpanzi maakt gebruik van twee aangepaste malwaretools, bekend als 'pandoraspear' en 'pcdn'.
Pandoraspear functioneert als een achterdeur-trojan, die de controle over DNS-instellingen overneemt, communicatie tot stand brengt met een Command and Control (C2)-server en opdrachten uitvoert die zijn ontvangen van de C2-server. De malware ondersteunt een reeks opdrachten, waardoor het DNS-instellingen kan manipuleren, DDoS-aanvallen kan initiëren, zichzelf kan updaten, reverse shells kan maken, de communicatie met de C2 kan beheren en willekeurige OS-opdrachten kan uitvoeren. Om detectie te omzeilen, maakt Pandoraspear gebruik van geavanceerde technieken, zoals een aangepaste UPX-shell, dynamische koppeling, OLLVM-compilatie en anti-debugging-mechanismen.
Pcdn daarentegen wordt gebruikt om een Peer-to-Peer (P2P) Content Distribution Network (CDN) op geïnfecteerde apparaten op te bouwen en beschikt over DDoS-mogelijkheden om deze apparaten verder te bewapenen.
Het Bigpanzi-botnet heeft een wereldwijd bereik
Tijdens piekmomenten beschikt het Bigpanzi-botnet over 170.000 dagelijkse bots, en sinds augustus 2023 hebben onderzoekers meer dan 1,3 miljoen verschillende IP-adressen geïdentificeerd die aan het botnet zijn gekoppeld. Vanwege de periodieke activiteit van gecompromitteerde tv-boxen en de beperkingen in de zichtbaarheid van cyberbeveiligingsanalisten is het echter zeer waarschijnlijk dat de werkelijke omvang van het botnet deze cijfers overtreft. De afgelopen acht jaar lijkt Bigpanzi in het geheim te hebben geopereerd en op discrete wijze rijkdom te hebben vergaard. Naarmate hun activiteiten vorderden, was er een opmerkelijke toename van het aantal voorbeelden, domeinnamen en IP-adressen.
Onderzoekers suggereren dat, gezien de enorme omvang en complexiteit van het netwerk, hun bevindingen slechts een oppervlakkig beeld geven van wat Bigpanzi werkelijk inhoudt. Tot nu toe hebben informatiebeveiligingsexperts geen details bekendgemaakt over de toeschrijving van de botnetoperatie. Een analyse van de pcdn-dreiging heeft hen echter naar een verdacht YouTube-kanaal geleid waarvan wordt aangenomen dat het onder controle staat van een bepaald bedrijf.
Infectievectoren uitgebuit door de bedreigingsactoren achter Bigpanzi
De cybercriminele groep richt zich op Android- en eCos-platforms en gebruikt drie verschillende methoden om gebruikersapparaten te infecteren:
- Illegale film- en tv-apps (Android) : Bigpanzi maakt gebruik van illegale applicaties gerelateerd aan films en tv-programma's op Android-apparaten. Gebruikers downloaden en installeren deze bedreigende applicaties onbewust, waardoor het botnet de apparaten kan binnendringen.
- Backdoored generieke OTA-firmware (Android) : Een andere methode omvat het manipuleren van over-the-air (OTA) firmware-updates op Android-apparaten. De cybercriminelen introduceren achterdeurtjes in deze updates, waardoor ze tijdens het installatieproces kwetsbaarheden kunnen misbruiken en ongeautoriseerde toegang tot de apparaten kunnen krijgen.
- Backdoored 'SmartUpTool'-firmware (eCos) : Voor apparaten die op het eCos-platform werken, richt Bigpanzi zich op een specifieke firmware genaamd 'SmartUpTool'. De cybercriminelen compromitteren deze firmware door backdoors te introduceren, waardoor ze apparaten die door eCos worden aangedreven, kunnen infiltreren en controleren.
Door deze drie methoden te gebruiken, zorgt Bigpanzi voor een breed scala aan aanvalsvectoren, waarbij nietsvermoedende gebruikers worden uitgebuit die zich bezighouden met illegale inhoud of hun apparaten updaten via gecompromitteerde firmware.
