Bigpanzi Botnet
องค์กรอาชญากรไซเบอร์ที่ไม่ปรากฏชื่อก่อนหน้านี้ซึ่งมีชื่อว่า 'Bigpanzi' ได้สร้างผลกำไรมหาศาลโดยการประนีประนอมกับกล่องรับสัญญาณ Android TV และ eCos ทั่วโลกนับตั้งแต่อย่างน้อยปี 2015 ตามที่นักวิจัยระบุว่ากลุ่มภัยคุกคามนี้จัดการบ็อตเน็ตที่กว้างขวางซึ่งประกอบด้วยบอทที่ทำงานอยู่ประมาณ 170,000 ตัวต่อวัน โดยเฉพาะอย่างยิ่งตั้งแต่เดือนสิงหาคม นักวิจัยได้ระบุที่อยู่ IP ที่ไม่ซ้ำกัน 1.3 ล้านรายการซึ่งเชื่อมโยงกับบอตเน็ต โดยส่วนใหญ่อยู่ในบราซิล Bigpanzi ใช้วิธีการต่างๆ เช่น การติดไวรัสในอุปกรณ์ผ่านการอัพเดตเฟิร์มแวร์ หรือจัดการผู้ใช้ให้ติดตั้งแอปที่ถูกบุกรุกโดยไม่รู้ตัว
การติดไวรัสเหล่านี้ทำหน้าที่เป็นแหล่งรายได้สำหรับอาชญากรไซเบอร์ที่เปลี่ยนอุปกรณ์ที่ถูกบุกรุกให้เป็นโหนดสำหรับกิจกรรมที่ผิดกฎหมายต่างๆ รวมถึงแพลตฟอร์มสตรีมมิ่งสื่อที่ผิดกฎหมาย เครือข่ายการรับส่งข้อมูลพร็อกซี การกระจายการปฏิเสธการให้บริการ (DDoS) ฝูง และการจัดหาเนื้อหาแบบ Over-The-Top (OTT) .
สารบัญ
การทำงานของ Bigpanzi Botnet ปรับใช้ภัยคุกคามมัลแวร์เพิ่มเติม
ปฏิบัติการอาชญากรรมทางไซเบอร์ที่ดำเนินการโดย Bigpanzi ใช้เครื่องมือมัลแวร์แบบกำหนดเองสองตัวที่เรียกว่า 'pandoraspear' และ 'pcdn'
Pandoraspear ทำหน้าที่เป็นโทรจันลับๆ ยึดการควบคุมการตั้งค่า DNS สร้างการสื่อสารกับเซิร์ฟเวอร์ Command and Control (C2) และดำเนินการคำสั่งที่ได้รับจากเซิร์ฟเวอร์ C2 มัลแวร์รองรับคำสั่งที่หลากหลาย ทำให้สามารถจัดการการตั้งค่า DNS, เริ่มการโจมตี DDoS, อัปเดตตัวเอง, สร้าง Reverse Shells, จัดการการสื่อสารกับ C2 และดำเนินการคำสั่งระบบปฏิบัติการตามอำเภอใจ เพื่อหลบเลี่ยงการตรวจจับ Pandoraspear ใช้เทคนิคที่ซับซ้อน เช่น เชลล์ UPX ที่ได้รับการแก้ไข การเชื่อมโยงแบบไดนามิก การคอมไพล์ OLLVM และกลไกการป้องกันการดีบัก
ในทางกลับกัน Pcdn ใช้เพื่อสร้างเครือข่ายการกระจายเนื้อหา (CDN) แบบ Peer-to-Peer (P2P) บนอุปกรณ์ที่ติดไวรัส และมีความสามารถ DDoS เพื่อสร้างอาวุธให้กับอุปกรณ์เหล่านี้เพิ่มเติม
Bigpanzi Botnet มีการเข้าถึงทั่วโลก
ในช่วงเวลาเร่งด่วน Bigpanzi botnet มีบอทเน็ต 170,000 ตัวต่อวัน และตั้งแต่เดือนสิงหาคม 2023 นักวิจัยได้ระบุ IP ที่แตกต่างกันมากกว่า 1.3 ล้าน IP ที่เกี่ยวข้องกับ botnet อย่างไรก็ตาม เนื่องจากกิจกรรมที่ไม่ต่อเนื่องของกล่องทีวีที่ถูกบุกรุกและข้อจำกัดในการมองเห็นของนักวิเคราะห์ความปลอดภัยทางไซเบอร์ จึงมีความเป็นไปได้สูงที่ขนาดที่แท้จริงของบ็อตเน็ตจะเกินกว่าตัวเลขเหล่านี้ ในช่วงแปดปีที่ผ่านมา Bigpanzi ดูเหมือนจะดำเนินการอย่างลับๆ และสะสมความมั่งคั่งอย่างรอบคอบ เมื่อการดำเนินงานก้าวหน้าขึ้น ตัวอย่าง ชื่อโดเมน และที่อยู่ IP ก็มีจำนวนเพิ่มขึ้นอย่างเห็นได้ชัด
นักวิจัยแนะนำว่า เมื่อพิจารณาถึงความใหญ่โตและความซับซ้อนของเครือข่าย การค้นพบของพวกเขาเป็นเพียงการขีดเส้นใต้ของสิ่งที่ Bigpanzi นำมาซึ่งจริงๆ เท่านั้น จนถึงขณะนี้ ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลยังไม่ได้เปิดเผยรายละเอียดใดๆ เกี่ยวกับแหล่งที่มาของการทำงานของบอตเน็ต อย่างไรก็ตาม การวิเคราะห์ภัยคุกคาม pcdn ได้นำพวกเขาไปยังช่อง YouTube ที่น่าสงสัยซึ่งเชื่อกันว่าอยู่ภายใต้การควบคุมของบริษัทใดบริษัทหนึ่ง
พาหะการติดเชื้อที่ถูกใช้ประโยชน์จากผู้คุกคามที่อยู่เบื้องหลัง Bigpanzi
กลุ่มอาชญากรไซเบอร์มุ่งเน้นไปที่แพลตฟอร์ม Android และ eCos โดยใช้วิธีที่แตกต่างกันสามวิธีในการแพร่เชื้ออุปกรณ์ของผู้ใช้:
- แอพภาพยนตร์และทีวีละเมิดลิขสิทธิ์ (Android) : Bigpanzi ใช้ประโยชน์จากแอพพลิเคชั่นละเมิดลิขสิทธิ์ที่เกี่ยวข้องกับภาพยนตร์และรายการทีวีบนอุปกรณ์ Android ผู้ใช้ดาวน์โหลดและติดตั้งแอปพลิเคชั่นที่เป็นอันตรายเหล่านี้โดยไม่รู้ตัว ซึ่งเป็นจุดเริ่มต้นให้บอตเน็ตสามารถโจมตีอุปกรณ์ได้
- เฟิร์มแวร์ OTA ทั่วไปแบบแบ็คดอร์ (Android) : อีกวิธีหนึ่งเกี่ยวข้องกับการจัดการการอัปเดตเฟิร์มแวร์แบบ over-the-air (OTA) บนอุปกรณ์ Android อาชญากรไซเบอร์แนะนำแบ็คดอร์ในการอัพเดตเหล่านี้ ช่วยให้พวกเขาใช้ประโยชน์จากช่องโหว่ในระหว่างกระบวนการติดตั้งและเข้าถึงอุปกรณ์โดยไม่ได้รับอนุญาต
- เฟิร์มแวร์ 'SmartUpTool' แบบแบ็คดอร์ (eCos) : สำหรับอุปกรณ์ที่ทำงานบนแพลตฟอร์ม eCos Bigpanzi กำหนดเป้าหมายเฟิร์มแวร์เฉพาะชื่อ 'SmartUpTool' อาชญากรไซเบอร์ประนีประนอมเฟิร์มแวร์นี้โดยแนะนำแบ็คดอร์ ซึ่งช่วยให้พวกเขาสามารถแทรกซึมและควบคุมอุปกรณ์ที่ขับเคลื่อนโดย eCos
ด้วยการใช้ทั้งสามวิธีนี้ Bigpanzi จะรับประกันช่องทางการโจมตีที่หลากหลาย โดยหาประโยชน์จากผู้ใช้ที่ไม่สงสัยซึ่งมีส่วนร่วมกับเนื้อหาที่ละเมิดลิขสิทธิ์ หรืออัปเดตอุปกรณ์ผ่านเฟิร์มแวร์ที่ถูกบุกรุก
