Xlabsは1月15日(現地時間)、「Bigpanzi Exposed: The Hidden Cyber Threat Behind Your Set-Top Box」において、AndroidおよびeCos(Embedded Configurable Operating System)を搭載したセットトップボックスを標的とするボットネットを発見したとして、その分析結果を公開した。発見したボットネットマルウェアのファイル名「pandoraspear」と規模を踏まえ、この脅威グループは「Bigpanzi」と命名されている。

  • Bigpanzi Exposed: The Hidden Cyber Threat Behind Your Set-Top Box

    Bigpanzi Exposed: The Hidden Cyber Threat Behind Your Set-Top Box

Bigpanziの活動

Xlabsによると、Bigpanziの活動は悪質な分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)にとどまらないという。侵害したセットトップボックスを悪用し、さまざまな映像や音声コンテンツを流布する攻撃を行う可能性が指摘されている。Bigpanziは2015年ごろから活動しているとみられ、ゼロデイの脆弱性を悪用して拡散するボットネットとは異なり、無料まはた安価なオーディオアプリやファームウェアのアップデートを装ってマルウェアを配布する手法を使用する。

  • Bigpanziによる攻撃経路の例 - 提供:Xlabs

    Bigpanziによる攻撃経路の例  引用:Xlabs

配布されるマルウェア「pandoraspear」にはコマンド&コントロール(C2: Command and Control)サーバと通信するバックドアの機能がある。Xlabsは分析によりコマンド&コントロールサーバのドメインを複数発見し、これらのうち2つが期限切れとなっていることを確認。これらドメインを登録することでハイジャックに成功している。

Xlabsはハイジャックしたドメインのサーバへのアクセスを監視し、Bigpanziの活動を観察している。その結果、アクティブなボットは主にブラジルに存在するとみられ、最大で1日当たり17万件のアクセスを確認している。その後、Bigpanziはハイジャックされたことに気づき、ハイジャックされたドメインのサーバに分散型サービス拒否攻撃を仕掛けている。

Xlabsは分散型サービス拒否攻撃に対抗せず一度監視を中止したが、ほとぼりが冷めた頃に監視を再開している。また、Bigpanziが配布しているマルウェアローダの処理の変化から、ハイジャックした2つのサーバへのアクセスの合計がボットネットの規模に相当する可能性が高いとの結論を得ている。そして、データの重複などを排除してボットネットの規模を調査した結果、10万台を超える規模を確認したとしている。

マルウェア「pandoraspear」はアプリやファームウェアを介して配布

XlabsによるとBigpanziはこのマルウェアを次の手段で配布するという。

  • 海賊版映画およびテレビアプリ(Android)
  • マルウェアを含むファームウェア(Android)
  • マルウェアを含む「SmartUpTool」ファームウェア(eCos)

pandoraspearは2015年から継続して進化しており、これまでに8つのバージョンが確認されているという。最新バージョンはV10で、次の機能を備えていると見られる。

  • DNSハイジャック。システムの/etc/hostsファイルを差し替えることでDNSハイジャックを実現する
  • コマンド&コントロールサーバとの接続を確立してコマンドを実行する。分散型サービス拒否攻撃やリバースシェルの実行に限らず、さまざまな機能を実行できる

また、分析では「pcdn」というファイル名のマルウェアが同時に配布されていることも確認している。pcdnは次の機能を備えているという。

  • 感染したデバイス上にストリーミングメディアプラットフォームを構築する。海賊版ビデオのストリーミングやAndroidパッケージの配布に使用している可能性がある
  • コマンド&コントロールサーバと接続し、コマンドを実行する
  • HTTPサーバとして動作し、感染したデバイスのステータスを応答する

今後の調査

XlabsはBigpanziの活動は大規模かつ複雑なネットワークで構成されていると評価している。また、この調査結果はBigpanziの活動の氷山の一角に過ぎないとして、さらなる追跡と調査を実施すると述べている。

この調査結果はBigpanziに対して決定的な打撃を与えるという最終目標を達成するために公表された。Xlabsはサイバーセキュリティに関わるコミュニティが洞察をよせてくれることを歓迎しており、有益な情報提供を求めている。また、これまでの調査の過程で判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。