Botnet Bigpanzi

Predtým neidentifikovaná kyberzločinecká organizácia s názvom „Bigpanzi“ generuje značné zisky kompromitovaním Android TV a eCos set-top boxov na celom svete minimálne od roku 2015. Podľa výskumníkov táto skupina hrozieb spravuje rozsiahly botnet, ktorý obsahuje približne 170 000 aktívnych robotov denne. Od augusta výskumníci identifikovali 1,3 milióna jedinečných IP adries spojených s botnetom, pričom väčšina z nich sa nachádza v Brazílii. Bigpanzi využíva metódy, ako je infikovanie zariadení prostredníctvom aktualizácií firmvéru alebo manipulácia používateľov, aby si nevedomky nainštalovali napadnuté aplikácie.

Tieto infekcie slúžia ako zdroj príjmov pre kyberzločincov, ktorí premieňajú napadnuté zariadenia na uzly pre rôzne nezákonné aktivity vrátane nelegálnych platforiem na streamovanie médií, sietí proxy na prenos dát, rojov DDoS (Distributed Denial of Service) a poskytovania obsahu Over-The-Top (OTT). .

Operácia Bigpanzi Botnet nasadzuje ďalšie malvérové hrozby

Operácia kyberzločinu, ktorú vedie Bigpanzi, využíva dva vlastné malvérové nástroje známe ako „pandoraspear“ a „pcdn“.

Pandoraspear funguje ako backdoor trójsky kôň, ktorý preberá kontrolu nad nastaveniami DNS, nadväzuje komunikáciu so serverom Command and Control (C2) a vykonáva príkazy prijaté zo servera C2. Malvér podporuje celý rad príkazov, čo mu umožňuje manipulovať s nastaveniami DNS, iniciovať DDoS útoky, aktualizovať sa, vytvárať reverzné shelly, spravovať komunikáciu s C2 a vykonávať ľubovoľné príkazy OS. Aby sa vyhla detekcii, Pandoraspear využíva sofistikované techniky, ako je modifikovaný UPX shell, dynamické prepojenie, kompilácia OLLVM a mechanizmy proti ladeniu.

Pcdn sa na druhej strane používa na vytvorenie siete distribúcie obsahu (P2P) Peer-to-Peer (CDN) na infikovaných zariadeniach a má schopnosti DDoS na ďalšie vyzbrojovanie týchto zariadení.

Botnet Bigpanzi má globálny dosah

Počas špičky sa botnet Bigpanzi môže pochváliť 170 000 robotmi denne a od augusta 2023 výskumníci identifikovali viac ako 1,3 milióna rôznych IP adries spojených s botnetom. Avšak kvôli občasnej aktivite kompromitovaných TV boxov a obmedzeniam vo viditeľnosti analytikov kybernetickej bezpečnosti je vysoko pravdepodobné, že skutočná veľkosť botnetu tieto čísla prekročí. Zdá sa, že za posledných osem rokov Bigpanzi fungoval skryto a diskrétne hromadil bohatstvo. Ako ich operácie postupovali, došlo k značnému množeniu vzoriek, názvov domén a IP adries.

Výskumníci naznačujú, že vzhľadom na enormnosť a zložitosť siete ich zistenia iba poškriabajú povrch toho, čo Bigpanzi skutočne znamená. Odborníci na informačnú bezpečnosť zatiaľ nezverejnili žiadne podrobnosti týkajúce sa pripísania činnosti botnetu. Analýza hrozby pcdn ich však priviedla k podozrivému kanálu YouTube, o ktorom sa predpokladá, že je pod kontrolou konkrétnej spoločnosti.

Infekčné vektory využívané aktérmi hrozby za Bigpanzi

Skupina kyberzločincov sa zameriava na platformy Android a eCos, pričom na infikovanie používateľských zariadení využíva tri rôzne metódy:

• Pirátske filmové a televízne aplikácie (Android) : Bigpanzi využíva pirátske aplikácie súvisiace s filmami a televíznymi reláciami na zariadeniach so systémom Android. Používatelia nevedomky sťahujú a inštalujú tieto ohrozujúce aplikácie, čím poskytujú botnetu vstupný bod na kompromitáciu zariadení.
• Backdoored generic OTA firmware (Android) : Ďalšia metóda zahŕňa manipuláciu s aktualizáciami firmvéru over-the-air (OTA) na zariadeniach so systémom Android. Kyberzločinci zavádzajú do týchto aktualizácií zadné vrátka, ktoré im umožňujú využiť zraniteľné miesta počas procesu inštalácie a získať neoprávnený prístup k zariadeniam.
• Firmvér Backdoored 'SmartUpTool' (eCos) : Pre zariadenia fungujúce na platforme eCos sa Bigpanzi zameriava na špecifický firmvér s názvom 'SmartUpTool.' Kyberzločinci kompromitujú tento firmvér zavedením zadných vrátok, ktoré im umožňujú infiltrovať a ovládať zariadenia poháňané eCos.

Využitím týchto troch metód zaisťuje Bigpanzi rozmanitú škálu vektorov útokov, pričom využíva nič netušiacich používateľov, ktorí sa zaoberajú pirátskym obsahom alebo aktualizujú svoje zariadenia prostredníctvom kompromitovaného firmvéru.