Bigpanzi 殭屍網絡

一個先前身份不明的網路犯罪組織，被稱為“Bigpanzi”，至少自2015 年以來，一直透過在全球範圍內入侵Android TV 和eCos 機上盒來賺取巨額利潤。研究人員表示，該威脅組織管理著一個龐大的殭屍網絡，其中包含約17 萬個每日活躍的機器人。值得注意的是，自 8 月以來，研究人員已識別出 130 萬個與殭屍網路相關的唯一 IP 位址，其中大部分位於巴西。 Bigpanzi 採用的方法包括透過韌體更新感染設備或操縱用戶在不知情的情況下安裝受感染的應用程式。

這些感染成為網路犯罪分子的收入來源，他們將受感染的設備轉變為各種非法活動的節點，包括非法媒體串流平台、流量代理網路、分散式阻斷服務 (DDoS) 群組和 OTT 內容提供。

Bigpanzi 殭屍網路操作部署了更多惡意軟體威脅

Bigpanzi 進行的網路犯罪行動使用了兩種名為「pandoraspear」和「pcdn」的客製化惡意軟體工具。

Pandoraspear 充當後門木馬，控制 DNS 設置，與命令和控制 (C2) 伺服器建立通信，並執行從 C2 伺服器接收的命令。該惡意軟體支援一系列命令，使其能夠操縱 DNS 設定、發動 DDoS 攻擊、自我更新、建立反向 shell、管理與 C2 的通訊以及執行任意作業系統命令。為了逃避偵測，Pandoraspear 採用了複雜的技術，例如修改的 UPX shell、動態連結、OLLVM 編譯和反調試機制。

另一方面，Pcdn 用於在受感染設備上建構點對點 (P2P) 內容分發網路 (CDN)，並擁有 DDoS 功能以進一步武器化這些裝置。

Bigpanzi 殭屍網路影響全球

在高峰時期，Bigpanzi 殭屍網路每天有 17 萬個機器人，自 2023 年 8 月以來，研究人員已識別出超過 130 萬個與該殭屍網路相關的不同 IP。然而，由於受感染電視盒的活動間歇性以及網路安全分析師可見性的限制，殭屍網路的實際規模很可能超過這些數字。過去八年裡，大盤子似乎一直在暗中運作，謹慎地累積財富。隨著他們的業務不斷發展，樣本、網域和 IP 位址顯著增加。

研究人員表示，考慮到該網路的龐大和複雜性，他們的發現僅僅觸及了 Bigpanzi 真正意義的表面。到目前為止，資訊安全專家尚未透露有關殭屍網路操作歸屬的任何細節。然而，對 pcdn 威脅的分析使他們發現了一個可疑的 YouTube 頻道，據信該頻道受到特定公司的控制。

Bigpanzi 背後的威脅行為者所利用的感染媒介

這個網路犯罪組織主要針對 Android 和 eCos 平台，利用三種不同的方法來感染使用者裝置：

• 盜版電影和電視應用程式 (Android) ：Bigpanzi 利用與 Android 裝置上的電影和電視節目相關的盜版應用程式。用戶在不知不覺中下載並安裝這些威脅應用程序，為殭屍網路破壞設備提供了入口點。
• 後門通用 OTA 韌體 (Android) ：另一種方法涉及操縱 Android 裝置上的無線 (OTA) 韌體更新。網路犯罪分子在這些更新中引入後門，使他們能夠在安裝過程中利用漏洞並獲得對設備的未經授權的存取。
• 後門「SmartUpTool」韌體 (eCos) ：對於在 eCos 平台上運行的設備，Bigpanzi 針對名為「SmartUpTool」的特定韌體。網路犯罪分子透過引入後門來破壞該固件，使他們能夠滲透和控制由 eCos 驅動的設備。

透過採用這三種方法，Bigpanzi 確保了多種攻擊媒介，利用那些接觸盜版內容或透過受損韌體更新設備的毫無戒心的用戶。