DanBot

DanBot je hlavní ohrožující užitečné zatížení dodávané při útocích skupiny Advanced Persistent Threat (APT) zvané Lyceum . Stejný kolektiv hackerů je komunitou kybernetické bezpečnosti pojmenován jako hexan. Činnosti lycea jsou zaměřeny na ropné, plynové a telekomunikační subjekty umístěné na Středním východě přísně. Skupinové útoky se vyznačují vysoce složitou strukturou zahrnující několik fází. DanBot ve druhé fázi spadl pomocí kapkového malwaru s názvem DanDrop .

V jádru je DanBot Trojan pro vzdálený přístup, který umožňuje hackerům ovládat napadený počítač ve fázi po infekci útoku. Pro kontaktování infrastruktury Command-and-Control (C2, C&C) používá DanBot protokoly DNS i HTTP.

Analýzou provozu DNS produkovaného RAT se výzkumníkům společnosti infosec podařilo zjistit, že exfiltruje určitá systémová data o napadeném počítači. Žádosti o doménu také obsahují registrační informace pro malware DanBot používaný k přiřazení nového ID robota pro hrozbu konkrétní oběti.

Požadavky HTTP také přinesly několik zajímavých nálezů. Zdá se, že se trojský kůň pokouší o autorizaci pomocí hesla kódovaného pomocí Base64 a zároveň využívá agenta uživatele maskovaného jako Firefox.