Ботнет Bigpanzi
Ранее неизвестная киберпреступная организация, получившая название Bigpanzi, получала значительную прибыль, взламывая приставки Android TV и eCos по всему миру, по крайней мере, с 2015 года. По мнению исследователей, эта группа угроз управляет обширной бот-сетью, включающей около 170 000 активных ботов в день. Примечательно, что с августа исследователи выявили 1,3 миллиона уникальных IP-адресов, связанных с ботнетом, большинство из которых расположены в Бразилии. Bigpanzi использует такие методы, как заражение устройств через обновления прошивки или манипулирование пользователями, заставляя их неосознанно устанавливать скомпрометированные приложения.
Эти инфекции служат источником дохода для киберпреступников, которые превращают скомпрометированные устройства в узлы для различных незаконных действий, включая незаконные платформы потокового мультимедиа, сети проксирования трафика, рои распределенного отказа в обслуживании (DDoS) и предоставление контента Over-The-Top (OTT). .
Оглавление
Операция ботнета Bigpanzi развертывает дополнительные вредоносные угрозы
В операции по борьбе с киберпреступностью, проводимой Bigpanzi, используются два специальных вредоносных инструмента, известные как pandoraspear и pcdn.
Pandoraspear действует как троян-бэкдор, захватывающий контроль над настройками DNS, устанавливающий связь с сервером управления и контроля (C2) и выполняющий команды, полученные от сервера C2. Вредоносное ПО поддерживает ряд команд, что позволяет ему манипулировать настройками DNS, инициировать DDoS-атаки, самостоятельно обновляться, создавать обратные оболочки, управлять связью с C2 и выполнять произвольные команды ОС. Чтобы избежать обнаружения, Pandoraspear использует сложные методы, такие как модифицированная оболочка UPX, динамическое связывание, компиляция OLLVM и механизмы защиты от отладки.
Pcdn, с другой стороны, используется для создания одноранговой (P2P) сети распространения контента (CDN) на зараженных устройствах и обладает возможностями DDoS для дальнейшего использования этих устройств в качестве оружия.
Ботнет Bigpanzi имеет глобальный охват
В часы пик ботнет Bigpanzi ежедневно насчитывает 170 000 ботов, а с августа 2023 года исследователи выявили более 1,3 миллиона различных IP-адресов, связанных с ботнетом. Однако из-за периодической активности взломанных ТВ-боксов и ограничений видимости для аналитиков кибербезопасности весьма вероятно, что реальный размер ботнета превышает эти цифры. За последние восемь лет Bigpanzi, похоже, действовала тайно, незаметно накапливая богатство. По мере развития их деятельности наблюдалось заметное увеличение числа образцов, доменных имен и IP-адресов.
Исследователи предполагают, что, учитывая масштабность и сложность сети, их выводы лишь поверхностно отражают то, что на самом деле представляет собой Bigpanzi. Пока эксперты по информационной безопасности не раскрыли никаких подробностей относительно происхождения работы ботнета. Однако анализ угрозы pcdn привел их на подозрительный канал YouTube, предположительно находящийся под контролем определенной компании.
Векторы заражения, используемые злоумышленниками, стоящими за Bigpanzi
Группа киберпреступников специализируется на платформах Android и eCos и использует три различных метода заражения пользовательских устройств:
- Пиратские приложения для фильмов и телепередач (Android) . Bigpanzi использует пиратские приложения, связанные с фильмами и телепередачами, на устройствах Android. Пользователи неосознанно загружают и устанавливают эти угрожающие приложения, предоставляя ботнету точку входа для компрометации устройств.
- Общая OTA-прошивка с бэкдором (Android) . Другой метод включает в себя управление обновлениями встроенного ПО по беспроводной сети (OTA) на устройствах Android. Киберпреступники внедряют в эти обновления бэкдоры, позволяющие использовать уязвимости в процессе установки и получать несанкционированный доступ к устройствам.
- Прошивка SmartUpTool с бэкдором (eCos) : для устройств, работающих на платформе eCos, Bigpanzi нацелена на специальную прошивку под названием SmartUpTool. Киберпреступники компрометируют эту прошивку, используя бэкдоры, позволяющие им проникать в устройства на базе eCos и контролировать их.
Используя эти три метода, Bigpanzi обеспечивает широкий спектр векторов атак, эксплуатируя ничего не подозревающих пользователей, которые используют пиратский контент или обновляют свои устройства с помощью скомпрометированной прошивки.
