Mạng botnet Bigpanzi

Một tổ chức tội phạm mạng chưa được xác định trước đây, có tên là 'Bigpanzi', đã tạo ra lợi nhuận đáng kể bằng cách xâm phạm các hộp giải mã Android TV và eCos trên toàn cầu ít nhất kể từ năm 2015. Theo các nhà nghiên cứu, nhóm đe dọa này quản lý một mạng botnet rộng lớn bao gồm khoảng 170.000 bot hoạt động hàng ngày. Đáng chú ý, kể từ tháng 8, các nhà nghiên cứu đã xác định được 1,3 triệu địa chỉ IP duy nhất được liên kết với mạng botnet, phần lớn nằm ở Brazil. Bigpanzi sử dụng các phương pháp như lây nhiễm vào thiết bị thông qua các bản cập nhật chương trình cơ sở hoặc thao túng người dùng vô tình cài đặt các ứng dụng bị xâm nhập.

Những sự lây nhiễm này đóng vai trò là nguồn thu nhập cho tội phạm mạng, những kẻ biến các thiết bị bị xâm nhập thành các nút cho các hoạt động bất hợp pháp khác nhau, bao gồm các nền tảng truyền phát phương tiện bất hợp pháp, mạng ủy quyền lưu lượng truy cập, đám từ chối dịch vụ phân tán (DDoS) và cung cấp nội dung Over-The-Top (OTT) .

Hoạt động Botnet Bigpanzi triển khai các mối đe dọa phần mềm độc hại bổ sung

Hoạt động tội phạm mạng do Bigpanzi thực hiện sử dụng hai công cụ phần mềm độc hại tùy chỉnh được gọi là 'pandoraspear' và 'pcdn.'

Pandoraspear hoạt động như một Trojan cửa sau, chiếm quyền kiểm soát cài đặt DNS, thiết lập liên lạc với máy chủ Lệnh và Kiểm soát (C2) và thực thi các lệnh nhận được từ máy chủ C2. Phần mềm độc hại hỗ trợ một loạt lệnh, cho phép nó thao túng cài đặt DNS, bắt đầu các cuộc tấn công DDoS, tự cập nhật, tạo shell shell, quản lý giao tiếp với C2 và thực thi các lệnh hệ điều hành tùy ý. Để tránh bị phát hiện, Pandoraspear sử dụng các kỹ thuật phức tạp, chẳng hạn như vỏ UPX đã sửa đổi, liên kết động, cơ chế biên dịch OLLVM và chống gỡ lỗi.

Mặt khác, Pcdn được sử dụng để xây dựng Mạng phân phối nội dung ngang hàng (P2P) trên các thiết bị bị nhiễm và sở hữu khả năng DDoS để vũ khí hóa các thiết bị này hơn nữa.

Botnet Bigpanzi có phạm vi tiếp cận toàn cầu

Trong thời gian cao điểm, mạng botnet Bigpanzi tự hào có 170.000 bot hàng ngày và kể từ tháng 8 năm 2023, các nhà nghiên cứu đã xác định được hơn 1,3 triệu IP riêng biệt có liên quan đến mạng botnet. Tuy nhiên, do hoạt động không liên tục của các hộp TV bị xâm nhập và những hạn chế về khả năng hiển thị của các nhà phân tích an ninh mạng, rất có thể kích thước thực của mạng botnet sẽ vượt qua những con số này. Trong 8 năm qua, Bigpanzi dường như đã hoạt động bí mật, tích lũy của cải một cách kín đáo. Khi hoạt động của họ tiến triển, đã có sự gia tăng đáng chú ý về mẫu, tên miền và địa chỉ IP.

Các nhà nghiên cứu cho rằng với sự rộng lớn và phức tạp của mạng lưới, những phát hiện của họ chỉ là sơ sài về những gì Bigpanzi thực sự đòi hỏi. Cho đến nay, các chuyên gia bảo mật thông tin vẫn chưa tiết lộ bất kỳ chi tiết nào liên quan đến hoạt động của botnet. Tuy nhiên, phân tích về mối đe dọa pcdn đã đưa họ tới một kênh YouTube đáng ngờ được cho là nằm dưới sự kiểm soát của một công ty cụ thể.

Các vectơ lây nhiễm được khai thác bởi những kẻ đe dọa đằng sau Bigpanzi

Nhóm tội phạm mạng tập trung vào nền tảng Android và eCos, sử dụng ba phương pháp riêng biệt để lây nhiễm vào thiết bị người dùng:

• Ứng dụng phim và truyền hình vi phạm bản quyền (Android) : Bigpanzi tận dụng các ứng dụng vi phạm bản quyền liên quan đến phim và chương trình truyền hình trên thiết bị Android. Người dùng vô tình tải xuống và cài đặt các ứng dụng đe dọa này, tạo cơ hội cho botnet xâm nhập thiết bị.
• Chương trình cơ sở OTA chung có cửa sau (Android) : Một phương pháp khác liên quan đến việc thao túng các bản cập nhật chương trình cơ sở qua mạng (OTA) trên thiết bị Android. Tội phạm mạng đưa cửa hậu vào các bản cập nhật này, cho phép chúng khai thác các lỗ hổng trong quá trình cài đặt và giành quyền truy cập trái phép vào thiết bị.
• Chương trình cơ sở 'SmartUpTool' (eCos) có cửa sau : Đối với các thiết bị hoạt động trên nền tảng eCos, Bigpanzi nhắm đến một chương trình cơ sở cụ thể có tên 'SmartUpTool'. Tội phạm mạng xâm phạm phần sụn này bằng cách giới thiệu các cửa sau, cho phép chúng xâm nhập và điều khiển các thiết bị được cung cấp bởi eCos.

Bằng cách sử dụng ba phương pháp này, Bigpanzi đảm bảo một loạt các vectơ tấn công đa dạng, khai thác những người dùng không nghi ngờ tham gia vào nội dung vi phạm bản quyền hoặc cập nhật thiết bị của họ thông qua chương trình cơ sở bị xâm nhập.