Bigpanzi-Botnetz
Eine bisher nicht identifizierte Cyberkriminalitätsorganisation mit dem Namen „Bigpanzi“ erwirtschaftet seit mindestens 2015 erhebliche Gewinne durch die Kompromittierung von Android TV- und eCos-Set-Top-Boxen weltweit. Forschern zufolge verwaltet diese Bedrohungsgruppe ein umfangreiches Botnetz mit rund 170.000 täglich aktiven Bots. Bemerkenswert ist, dass Forscher seit August 1,3 Millionen eindeutige IP-Adressen identifiziert haben, die mit dem Botnetz verbunden sind, wobei sich die Mehrheit in Brasilien befindet. Bigpanzi nutzt Methoden wie die Infektion von Geräten durch Firmware-Updates oder die Manipulation von Benutzern, unwissentlich kompromittierte Apps zu installieren.
Diese Infektionen dienen Cyberkriminellen als Einnahmequelle, die kompromittierte Geräte in Knotenpunkte für verschiedene illegale Aktivitäten verwandeln, darunter illegale Medien-Streaming-Plattformen, Traffic-Proxy-Netzwerke, Distributed Denial of Service (DDoS)-Schwärme und Over-The-Top (OTT)-Inhaltsbereitstellung .
Inhaltsverzeichnis
Die Bigpanzi-Botnet-Operation setzt zusätzliche Malware-Bedrohungen ein
Bei der von Bigpanzi durchgeführten Cyberkriminalitätsoperation werden zwei benutzerdefinierte Malware-Tools eingesetzt, die als „pandoraspear“ und „pcdn“ bekannt sind.
Pandoraspear fungiert als Backdoor-Trojaner, der die Kontrolle über DNS-Einstellungen übernimmt, die Kommunikation mit einem Command and Control (C2)-Server herstellt und vom C2-Server empfangene Befehle ausführt. Die Malware unterstützt eine Reihe von Befehlen und ermöglicht es ihr, DNS-Einstellungen zu manipulieren, DDoS-Angriffe zu initiieren, sich selbst zu aktualisieren, Reverse-Shells zu erstellen, die Kommunikation mit dem C2 zu verwalten und beliebige Betriebssystembefehle auszuführen. Um einer Erkennung zu entgehen, setzt Pandoraspear ausgefeilte Techniken ein, wie etwa eine modifizierte UPX-Shell, dynamische Verknüpfung, OLLVM-Kompilierung und Anti-Debugging-Mechanismen.
Pcdn hingegen wird zum Aufbau eines Peer-to-Peer (P2P) Content Distribution Network (CDN) auf infizierten Geräten verwendet und verfügt über DDoS-Fähigkeiten, um diese Geräte noch weiter zu bewaffnen.
Das Bigpanzi-Botnetz hat globale Reichweite
In Spitzenzeiten gibt es im Bigpanzi-Botnetz täglich 170.000 Bots, und seit August 2023 haben Forscher über 1,3 Millionen verschiedene IP-Adressen identifiziert, die mit dem Botnetz verbunden sind. Aufgrund der zeitweiligen Aktivität kompromittierter TV-Boxen und der eingeschränkten Sichtbarkeit von Cybersicherheitsanalysten ist es jedoch sehr wahrscheinlich, dass die tatsächliche Größe des Botnetzes diese Zahlen übersteigt. In den letzten acht Jahren scheint Bigpanzi im Verborgenen agiert und heimlich Vermögen angehäuft zu haben. Mit fortschreitender Geschäftstätigkeit kam es zu einer deutlichen Zunahme von Beispielen, Domänennamen und IP-Adressen.
Die Forscher gehen davon aus, dass ihre Erkenntnisse angesichts der Größe und Komplexität des Netzwerks nur an der Oberfläche dessen kratzen, was Bigpanzi wirklich bedeutet. Bisher haben Informationssicherheitsexperten keine Einzelheiten zur Zuschreibung des Botnet-Vorgangs bekannt gegeben. Eine Analyse der PCDN-Bedrohung hat sie jedoch zu einem verdächtigen YouTube-Kanal geführt, von dem angenommen wird, dass er unter der Kontrolle eines bestimmten Unternehmens steht.
Von den Bedrohungsakteuren hinter Bigpanzi ausgenutzte Infektionsvektoren
Die Cyberkriminellegruppe konzentriert sich auf Android- und eCos-Plattformen und nutzt drei verschiedene Methoden, um Benutzergeräte zu infizieren:
- Raubkopien von Film- und Fernseh-Apps (Android) : Bigpanzi nutzt raubkopierte Anwendungen im Zusammenhang mit Filmen und Fernsehsendungen auf Android-Geräten. Benutzer laden diese bedrohlichen Anwendungen unwissentlich herunter und installieren sie. Sie bieten dem Botnet einen Einstiegspunkt, um die Geräte zu kompromittieren.
- Hintertür der generischen OTA-Firmware (Android) : Eine andere Methode besteht darin, Over-the-Air-Firmware-Updates (OTA) auf Android-Geräten zu manipulieren. Die Cyberkriminellen führen in diese Updates Hintertüren ein, die es ihnen ermöglichen, Schwachstellen während des Installationsprozesses auszunutzen und sich unbefugten Zugriff auf die Geräte zu verschaffen.
- Hintertürige „SmartUpTool“-Firmware (eCos) : Für Geräte, die auf der eCos-Plattform laufen, zielt Bigpanzi auf eine bestimmte Firmware namens „SmartUpTool“ ab. Die Cyberkriminellen kompromittieren diese Firmware, indem sie Hintertüren einführen, die es ihnen ermöglichen, mit eCos betriebene Geräte zu infiltrieren und zu steuern.
Durch den Einsatz dieser drei Methoden stellt Bigpanzi eine Vielzahl von Angriffsvektoren sicher und nutzt ahnungslose Benutzer aus, die sich mit Raubkopien beschäftigen oder ihre Geräte über kompromittierte Firmware aktualisieren.
