Бигпанзи Ботнет
Раније неидентификована сајбер криминална организација, названа 'Бигпанзи', генерише значајан профит компромитујући Андроид ТВ и еЦос сет-топ боксове на глобалном нивоу од најмање 2015. Према истраживачима, ова група претњи управља великим ботнетом који се састоји од око 170.000 активних ботова дневно Значајно је да су од августа истраживачи идентификовали 1,3 милиона јединствених ИП адреса повезаних са ботнетом, при чему се већина налази у Бразилу. Бигпанзи користи методе као што је инфицирање уређаја путем ажурирања фирмвера или манипулисање корисницима да несвесно инсталирају угрожене апликације.
Ове инфекције служе као извор прихода за сајбер криминалце који трансформишу компромитоване уређаје у чворове за различите незаконите активности, укључујући илегалне платформе за стримовање медија, мреже за проксије саобраћаја, ројеве дистрибуираног ускраћивања услуге (ДДоС) и пружање садржаја преко врха (ОТТ) .
Преглед садржаја
Операција Бигпанзи ботнет поставља додатне претње од злонамерног софтвера
Операција сајбер криминала коју спроводи Бигпанзи користи две прилагођене алатке за малвер познат као „пандораспеар“ и „пцдн“.
Пандораспеар функционише као бацкдоор тројанац, преузима контролу над ДНС поставкама, успоставља комуникацију са сервером за команду и контролу (Ц2) и извршава команде примљене са Ц2 сервера. Злонамерни софтвер подржава низ команди, омогућавајући му да манипулише поставкама ДНС-а, иницира ДДоС нападе, само-ажурира, креира обрнуте љуске, управља комуникацијом са Ц2 и извршава произвољне команде ОС-а. Да би избегао откривање, Пандораспеар користи софистициране технике, као што су модификована УПКС шкољка, динамичко повезивање, ОЛЛВМ компилација и механизми против отклањања грешака.
Пцдн се, с друге стране, користи за изградњу Пеер-то-Пеер (П2П) мреже за дистрибуцију садржаја (ЦДН) на зараженим уређајима и поседује ДДоС могућности за даље коришћење ових уређаја.
Бигпанзи ботнет има глобални домет
Током шпица, Бигпанзи ботнет се може похвалити са 170.000 ботова дневно, а од августа 2023. истраживачи су идентификовали преко 1,3 милиона различитих ИП адреса повезаних са ботом. Међутим, због повремене активности компромитованих ТВ кутија и ограничења у видљивости аналитичара за сајбер безбедност, велика је вероватноћа да стварна величина ботнета превазилази ове бројке. Чини се да је током протеклих осам година Бигпанзи деловао прикривено, дискретно акумулирајући богатство. Како су њихове операције напредовале, дошло је до приметне пролиферације узорака, имена домена и ИП адреса.
Истраживачи сугеришу да с обзиром на величину и замршеност мреже, њихови налази само загребу површину онога што Бигпанзи заиста подразумева. Стручњаци за безбедност информација до сада нису открили никакве детаље у вези са приписивањем операције ботнет-а. Међутим, анализа пцдн претње довела их је до сумњивог ИоуТубе канала за који се верује да је под контролом одређене компаније.
Вектори инфекције искориштавају претњи актери иза Бигпанзија
Група сајбер криминалаца се фокусира на Андроид и еЦос платформе, користећи три различите методе за заразу корисничких уређаја:
- Пиратске апликације за филмове и ТВ (Андроид) : Бигпанзи користи пиратске апликације које се односе на филмове и ТВ емисије на Андроид уређајима. Корисници несвесно преузимају и инсталирају ове претеће апликације, обезбеђујући улазну тачку за ботнет да компромитује уређаје.
- Позадински генерички ОТА фирмвер (Андроид) : Други метод укључује манипулисање бежичним (ОТА) ажурирањима фирмвера на Андроид уређајима. Сајбер криминалци уводе бацкдоор у ове исправке, омогућавајући им да искористе рањивости током процеса инсталације и добију неовлашћени приступ уређајима.
- Бацкдооред фирмвер „СмартУпТоол“ (еЦос) : За уређаје који раде на еЦос платформи, Бигпанзи циља на одређени фирмвер под називом „СмартУпТоол“. Сајбер-криминалци компромитују овај фирмвер увођењем бацкдоор-а, омогућавајући им да се инфилтрирају и контролишу уређаје које покрећу еЦос.
Коришћењем ове три методе, Бигпанзи обезбеђује широк спектар вектора напада, искоришћавајући несуђене кориснике који се баве пиратским садржајем или ажурирају своје уређаје путем компромитованог фирмвера.
