大盘子(Bigpanzi)僵尸网络病毒感染17万Android TV盒,恶意软件泛滥
一支以前未知的网络犯罪团伙名为“大盘子”(Bigpanzi)自2015年以来一直通过全球感染Android TV和eCos机顶盒来赚取可观的利润。
总部位于北京的前卫实验室(Qianxin Xlabs)报告称,该威胁组织控制着一个庞大的僵尸网络,拥有约17万每日活跃的僵尸设备。然而,研究人员自2023年8月以来已经看到与该僵尸网络相关的130万个独特IP地址,其中大多数位于巴西。
大盘子通过固件更新或用户被诱导安装的带有后门的应用程序感染这些设备,正如2023年9月Dr. Web的一份报告所强调的那样。
这些网络犯罪分子通过将这些受感染的设备变成非法媒体流平台的节点、流量代理网络、分布式拒绝服务(DDoS)群体和OTT内容提供商来实现这些感染的盈利。
大盘子的自定义恶意软件
前卫实验室的报告着重介绍了“潘多拉之矛”(pandoraspear)和“pcdn”两种大盘子在其操作中使用的恶意软件工具。
潘多拉之矛充当后门木马,劫持DNS设置,建立命令和控制(C2)通信,并执行从C2服务器接收到的命令。该恶意软件支持各种命令,使其能够操纵DNS设置,发起DDoS攻击,更新自身,创建反向Shell,管理与C2的通信,并执行任意操作系统命令。
潘多拉之矛采用了修改过的UPX shell、动态链接、OLLVM编译和反调试机制等复杂技术,以逃避检测。
Pcdn用于在受感染设备上构建点对点(P2P)内容分发网络(CDN),并具有武器化设备的DDoS能力。
运营规模
前卫实验室在劫持了攻击者使用的两个C2域并进行了为期七天的观察后,获得了有关僵尸网络规模的见解。
分析人员报告称,大盘子僵尸网络在高峰时期拥有17万个每日活跃的僵尸设备,并自2023年8月以来观察到超过130万个不同的IP地址。
然而,由于受感染的电视盒不是始终同时活跃的,再加上网络安全分析人员的可见性限制,不可避免地认为僵尸网络的规模更大。
“在过去的八年里,大盘子一直秘密地在暗中积累财富,”前卫实验室的报告称。“随着他们操作的进展,样本、域名和IP地址大量增加。”
“面对如此庞大而错综复杂的网络,我们的发现仅代表了大盘子所包含的冰山一角。”
在分析的pcdn样本中发现的工件将中国研究人员引向了一个可疑的由一家公司控制的YouTube频道。然而,前卫实验室的报告尚未透露任何归因细节,可能是为了保留给相关执法机构。