DanBot

DanBot er den største truende nyttelast leveret i angreb fra en Advanced Persistent Threat (APT) -gruppe kaldet Lyceum . Den samme kollektivitet af hackere kaldes også hexan af cybersikkerhedsfællesskabet. Lyceums aktiviteter er koncentreret om olie-, gas- og telekommunikationsenheder i Mellemøsten strengt. Gruppeangrebene er kendetegnet ved en meget kompleks struktur, der involverer flere faser. DanBot droppes i anden fase af en dropper-malware ved navn DanDrop .

I sin kerne er DanBot en Remote Access Trojan, der gør det muligt for hackere at kontrollere den kompromitterede computer i angrebsfasen efter infektion. For at kontakte Command-and-Control (C2, C&C) infrastrukturen bruger DanBot både DNS- og HTTP-protokollerne.

Ved at analysere DNS-trafikken produceret af RAT formåede infosec-forskere at opdage, at den exfiltrerer visse systemdata om den kompromitterede computer. Domæneanmodningerne indeholder også registreringsoplysninger for DanBot-malware, der bruges til at tildele et nyt bot-id til truslen mod det specifikke offer.

HTTP-anmodningerne har også givet nogle interessante fund. Trojan forsøger tilsyneladende autorisation med en Base64-kodet adgangskode, mens den også anvender en brugeragent forklædt som Firefox.

Trending

Mest sete

Indlæser...