DanDrop

DanDrop je alat za dropiranje zlonamjernog softvera, dio arsenala grupe Napredne uporne prijetnje (APT) nazvane Lyceum ili Hexane, od strane zajednice za cyber sigurnost. DanDrop isporučuje se u prvoj fazi Lyceum je napad lanac i odgovoran je za stvaranje kopiju hakerskoj glavnom malware alat - Remote Access Trojan zove DanBot .

Da bi isporučio DanDrop na ciljano računalo, ugrađen je u dokumente Microsoft Office kao VBA makronaredba. Dokumenti s kapaljkom dizajnirani su da budu što primamljiviji s imenima poput "Najgore lozinke 2017." i "Deset najboljih sigurnosnih praksi". Otkriveni su i dokumenti napisani u potpunosti na arapskom jeziku.

Sam zlonamjerni softver sastoji se od nekoliko VBA funkcija. Glavna funkcija aktivira se kada ciljani korisnik otvori oštećeni MS dokument i programiran je za izvršavanje mnoštva radnji na ugroženom sustavu. Prvo postavlja vidljivost određenih listova s dokumentom, nakon čega nastavlja s kreiranjem Users \ Public \ PublicPics unutar direktorija MyDocuments. Sljedeći je korak dešifriranje podataka kodiranih Base64 iz dokumenta i pohraniti ih u dvije varijable pod nazivom ert i cnf. Tada se varijable zapisuju u dvije datoteke - ATrce.e i ATrce.ex, nakon čega datoteke dobivaju nova imena ATrce.exe i ATrce.exe.config. Konačno, poziva funkciju SdT koja kasnije može pokrenuti ispušteni DanBotov teret.