DanBot

DanBot je glavni prijeteći teret isporučen u napadima grupe Napredne uporne prijetnje (APT) nazvane Lyceum. Isti kolektiv hakera zajednica kibernetičke sigurnosti također naziva heksanom. Djelatnosti liceja usredotočene su na naftne, plinske i telekomunikacijske jedinice smještene strogo na Bliskom istoku. Grupne napade karakterizira vrlo složena struktura koja uključuje nekoliko faza. DanBot u drugoj fazi ispada dropper zvanim DanDrop.

U svojoj osnovi, DanBot je trojanski program za daljinski pristup koji hakerima omogućuje kontrolu ugroženog računala u fazi zaraze nakon zaraze. Da bi kontaktirao infrastrukturu Command-and-Control (C2, C&C), DanBot koristi i DNS i HTTP protokole.

Analizirajući DNS promet koji je stvorio RAT, istraživači infosec-a uspjeli su otkriti da on eksfiltrira određene sistemske podatke o ugroženom računalu. Zahtjevi domene sadrže i podatke o registraciji za zlonamjerni softver DanBot koji se koristi za dodjeljivanje novog bot ID-a za prijetnju određenoj žrtvi.

HTTP zahtjevi također su donijeli nekoliko zanimljivih nalaza. Čini se da Trojanac pokušava autorizirati lozinkom kodiranom Base64, a istovremeno koristi korisničkog agenta maskiranog u Firefox.