Bigpanzi Botnet
'Bigpanzi' olarak adlandırılan, daha önce kimliği belirlenemeyen bir siber suç örgütü, en az 2015'ten bu yana küresel olarak Android TV ve eCos set üstü kutularını ele geçirerek önemli miktarda kar elde ediyor. Araştırmacılara göre bu tehdit grubu, günlük yaklaşık 170.000 aktif bottan oluşan kapsamlı bir botnet'i yönetiyor. Özellikle ağustos ayından bu yana araştırmacılar, çoğunluğu Brezilya'da bulunan, botnet'e bağlı 1,3 milyon benzersiz IP adresi tespit etti. Bigpanzi, donanım yazılımı güncellemeleri aracılığıyla cihazlara virüs bulaştırmak veya kullanıcıları bilmeden güvenliği ihlal edilmiş uygulamaları yüklemeye yönlendirmek gibi yöntemler kullanıyor.
Bu enfeksiyonlar, ele geçirilen cihazları yasa dışı medya akış platformları, trafik proxy ağları, Dağıtılmış Hizmet Reddi (DDoS) sürüleri ve Over-The-Top (OTT) içerik sağlama dahil olmak üzere çeşitli yasa dışı faaliyetler için düğümlere dönüştüren siber suçlular için bir gelir kaynağı görevi görüyor. .
İçindekiler
Bigpanzi Botnet Operasyonu Ek Kötü Amaçlı Yazılım Tehditlerini Yayıyor
Bigpanzi tarafından yürütülen siber suç operasyonunda 'pandoraspear' ve 'pcdn' olarak bilinen iki özel kötü amaçlı yazılım aracı kullanılıyor.
Pandoraspear, bir arka kapı Truva atı olarak işlev görüyor, DNS ayarlarının kontrolünü ele geçiriyor, Komuta ve Kontrol (C2) sunucusuyla iletişim kuruyor ve C2 sunucusundan alınan komutları yürütüyor. Kötü amaçlı yazılım bir dizi komutu destekleyerek DNS ayarlarını değiştirmesine, DDoS saldırıları başlatmasına, kendi kendini güncellemesine, ters kabuklar oluşturmasına, C2 ile iletişimi yönetmesine ve isteğe bağlı işletim sistemi komutlarını yürütmesine olanak tanıyor. Pandoraspear, tespit edilmekten kaçınmak için değiştirilmiş bir UPX kabuğu, dinamik bağlantı, OLLVM derlemesi ve hata ayıklamayı önleme mekanizmaları gibi karmaşık teknikler kullanır.
Öte yandan Pcdn, virüs bulaşmış cihazlarda Eşler Arası (P2P) İçerik Dağıtım Ağı (CDN) oluşturmak için kullanılıyor ve bu cihazları daha da silahlandırmak için DDoS yeteneklerine sahip.
Bigpanzi Botnet’in Küresel Erişimi Var
Yoğun zamanlarda Bigpanzi botnet'inde günlük 170.000 bot bulunuyor ve Ağustos 2023'ten bu yana araştırmacılar, botnet ile ilişkili 1,3 milyondan fazla farklı IP tespit etti. Ancak, ele geçirilen TV kutularının aralıklı faaliyeti ve siber güvenlik analistlerinin görünürlüğündeki sınırlamalar nedeniyle, botnet'in gerçek boyutunun bu rakamları aşması kuvvetle muhtemeldir. Geçtiğimiz sekiz yıl boyunca Bigpanzi'nin gizlice faaliyet gösterdiği ve gizlice servet biriktirdiği görülüyor. Operasyonları ilerledikçe örneklerde, alan adlarında ve IP adreslerinde dikkate değer bir artış yaşandı.
Araştırmacılar, ağın büyüklüğü ve karmaşıklığı göz önüne alındığında, bulgularının Bigpanzi'nin gerçekte neyi gerektirdiğinin yalnızca yüzeyini çizdiğini öne sürüyorlar. Şu ana kadar bilgi güvenliği uzmanları botnet operasyonunun niteliğine ilişkin herhangi bir ayrıntıyı açıklamadı. Ancak pcdn tehdidinin analizi, onları belirli bir şirketin kontrolü altında olduğuna inanılan şüpheli bir YouTube kanalına yönlendirdi.
Bigpanzi’nin Arkasındaki Tehdit Aktörlerinin Kullandığı Enfeksiyon Vektörleri
Siber suçlu grubu, kullanıcı cihazlarına virüs bulaştırmak için üç farklı yöntem kullanarak Android ve eCos platformlarına odaklanıyor:
- Korsan film ve TV uygulamaları (Android) : Bigpanzi, Android cihazlarda film ve TV şovlarıyla ilgili korsan uygulamalardan yararlanır. Kullanıcılar farkında olmadan bu tehdit edici uygulamaları indirip yükleyerek botnet'in cihazların güvenliğini tehlikeye atması için bir giriş noktası sağlıyor.
- Arka kapılı genel OTA donanım yazılımı (Android) : Başka bir yöntem, Android cihazlarda kablosuz (OTA) donanım yazılımı güncellemelerinin değiştirilmesini içerir. Siber suçlular bu güncellemelere arka kapılar açarak kurulum süreci sırasında güvenlik açıklarından yararlanmalarına ve cihazlara yetkisiz erişim elde etmelerine olanak tanıyor.
- Arka kapılı 'SmartUpTool' donanım yazılımı (eCos) : Bigpanzi, eCos platformunda çalışan cihazlar için 'SmartUpTool' adlı belirli bir donanım yazılımını hedefler. Siber suçlular, arka kapıları açarak bu ürün yazılımını tehlikeye atarak eCos tarafından desteklenen cihazlara sızmalarına ve kontrol etmelerine olanak tanıyor.
Bigpanzi, bu üç yöntemi kullanarak, korsan içerikle etkileşime giren veya cihazlarını tehlikeye atılmış donanım yazılımı aracılığıyla güncelleyen şüphelenmeyen kullanıcılardan yararlanarak çok çeşitli saldırı vektörleri sağlar.
