DanBot

DanBot on tärkein uhkaava hyötykuorma edistyneen pysyvän uhan (APT) -ryhmän hyökkäyksissä nimeltä Lyceum. Kyberturvallisuusyhteisö on myös nimittänyt saman hakkeriryhmän heksaaniksi. Lyceumin toiminta on keskittynyt tiukasti Lähi-idässä sijaitseviin öljy-, kaasu- ja televiestintäyksiköihin. Ryhmähyökkäyksille on ominaista erittäin monimutkainen rakenne, joka käsittää useita vaiheita. DanDot pudotetaan toisessa vaiheessa DanDrop- nimisen dropper-haittaohjelman avulla.

Ytimessä DanBot on etäkäyttöinen troijalainen, jonka avulla hakkerit voivat hallita vaarantunutta tietokonetta hyökkäyksen jälkeisessä vaiheessa. DanBot käyttää sekä DNS- että HTTP-protokollaa ottaakseen yhteyttä Command-and-Control (C2, C&C) -infrastruktuuriin.

Analysoimalla RAT: n tuottaman DNS-liikenteen infosec-tutkijat onnistuivat havaitsemaan, että se suodattaa tietyt järjestelmätiedot vaarantuneesta tietokoneesta. Verkkotunnuspyynnöt sisältävät myös rekisteröintitietoja DanBot-haittaohjelmille, joita käytetään uuden bottitunnuksen määrittämiseen uhrille.

HTTP-pyynnöt ovat myös tuottaneet mielenkiintoisia löytöjä. Ilmeisesti troijalainen yrittää valtuutusta Base64-koodatulla salasanalla ja käyttää samalla käyttäjäagenttia, joka on naamioitu Firefoxiksi.