Bigpanzi 僵尸网络
一个先前身份不明的网络犯罪组织,被称为“Bigpanzi”,至少自 2015 年以来,一直通过在全球范围内入侵 Android TV 和 eCos 机顶盒来赚取巨额利润。研究人员表示,该威胁组织管理着一个庞大的僵尸网络,其中包含约 170,000 个每日活跃的机器人。值得注意的是,自 8 月以来,研究人员已识别出 130 万个与僵尸网络相关的唯一 IP 地址,其中大部分位于巴西。 Bigpanzi 采用的方法包括通过固件更新感染设备或操纵用户在不知情的情况下安装受感染的应用程序。
这些感染成为网络犯罪分子的收入来源,他们将受感染的设备转变为各种非法活动的节点,包括非法媒体流平台、流量代理网络、分布式拒绝服务 (DDoS) 群和 OTT 内容提供。
目录
Bigpanzi 僵尸网络操作部署了更多恶意软件威胁
Bigpanzi 进行的网络犯罪行动使用了两种名为“pandoraspear”和“pcdn”的定制恶意软件工具。
Pandoraspear 充当后门木马,控制 DNS 设置,与命令和控制 (C2) 服务器建立通信,并执行从 C2 服务器接收的命令。该恶意软件支持一系列命令,使其能够操纵 DNS 设置、发起 DDoS 攻击、自我更新、创建反向 shell、管理与 C2 的通信以及执行任意操作系统命令。为了逃避检测,Pandoraspear 采用了复杂的技术,例如修改的 UPX shell、动态链接、OLLVM 编译和反调试机制。
另一方面,Pcdn 用于在受感染设备上构建点对点 (P2P) 内容分发网络 (CDN),并拥有 DDoS 功能以进一步武器化这些设备。
Bigpanzi 僵尸网络影响全球
在高峰时期,Bigpanzi 僵尸网络每天拥有 170,000 个机器人,自 2023 年 8 月以来,研究人员已识别出超过 130 万个与该僵尸网络相关的不同 IP。然而,由于受感染电视盒的活动间歇性以及网络安全分析师可见性的限制,僵尸网络的实际规模很可能超过这些数字。过去八年里,大盘子似乎一直在暗中运作,谨慎地积累财富。随着他们的业务不断发展,样本、域名和 IP 地址显着增加。
研究人员表示,考虑到该网络的庞大和复杂性,他们的发现仅仅触及了 Bigpanzi 真正含义的表面。到目前为止,信息安全专家尚未透露有关僵尸网络操作归属的任何细节。然而,对 pcdn 威胁的分析使他们发现了一个可疑的 YouTube 频道,据信该频道受到特定公司的控制。
Bigpanzi 背后的威胁行为者利用的感染媒介
该网络犯罪组织主要针对 Android 和 eCos 平台,利用三种不同的方法来感染用户设备:
- 盗版电影和电视应用程序 (Android) :Bigpanzi 利用与 Android 设备上的电影和电视节目相关的盗版应用程序。用户在不知不觉中下载并安装这些威胁应用程序,为僵尸网络破坏设备提供了入口点。
- 后门通用 OTA 固件 (Android) :另一种方法涉及操纵 Android 设备上的无线 (OTA) 固件更新。网络犯罪分子在这些更新中引入后门,使他们能够在安装过程中利用漏洞并获得对设备的未经授权的访问。
- 后门“SmartUpTool”固件 (eCos) :对于在 eCos 平台上运行的设备,Bigpanzi 针对名为“SmartUpTool”的特定固件。网络犯罪分子通过引入后门来破坏该固件,使他们能够渗透和控制由 eCos 驱动的设备。
通过采用这三种方法,Bigpanzi 确保了多种攻击媒介,利用那些接触盗版内容或通过受损固件更新设备的毫无戒心的用户。
