DanBot
DanBot on peamine ähvardav kasulik koormus, mida rünnakutes edendab Advanced Persistent Threat (APT) rühmitus nimega Lütseum. Küberturvalisus nimetab sama häkkerite kollektiivi ka heksaaniks. Lütseumi tegevus on suunatud rangelt Lähis-Idas asuvatele nafta-, gaasi- ja telekommunikatsiooniettevõtetele. Rühmarünnakuid iseloomustab väga keerukas struktuur, mis hõlmab mitut etappi. DanBoti kukutab teises etapis DanDropi nimeline tilgutite pahavara.
Oma olemuselt on DanBot kaugjuurdepääsuga troojalane, mis võimaldab häkkeritel rünnaku järgses faasis ohustatud arvutit juhtida. Command-and-Control (C2, C&C) infrastruktuuriga ühenduse võtmiseks kasutab DanBot nii DNS- kui HTTP-protokolle.
Analüüsides RAT-i toodetud DNS-liiklust, õnnestus infosektide uurijatel avastada, et see filtreerib teatud süsteemiandmeid rikutud arvuti kohta. Domeenitaotlused sisaldavad ka DanBoti pahavara registreerimisteavet, mida kasutatakse konkreetse ohvri jaoks uue bot ID määramiseks.
HTTP-päringud on andnud ka huvitavaid leide. Ilmselt proovib Trooja autoriseerimist Base64 kodeeritud parooliga, kasutades selleks ka Firefoxiks maskeeritud kasutajaagenti.
