DanBot

DanBot è il principale carico minaccioso fornito negli attacchi da un gruppo APT (Advanced Persistent Threat) chiamato Lyceum. Lo stesso collettivo di hacker è anche chiamato esano dalla comunità della sicurezza informatica. Le operazioni di Lyceum si concentrano su entità di petrolio, gas e telecomunicazioni situate rigorosamente in Medio Oriente. Gli attacchi di gruppo sono caratterizzati da una struttura molto complessa che coinvolge più fasi. DanBot viene rilasciato nella seconda fase da un malware contagocce denominato DanDrop.

DanBot è essenzialmente un Trojan di accesso remoto che consente agli hacker di controllare il computer compromesso nella fase post-infezione dell'attacco. Per contattare l'infrastruttura Command-and-Control (C2, C&C), DanBot utilizza entrambi i protocolli DNS e HTTP.

Analizzando il traffico DNS prodotto dal RAT, i ricercatori di infosec sono riusciti a scoprire che esso esfiltra alcuni dati di sistema sul computer compromesso. Le richieste di dominio contengono anche informazioni di registrazione per il malware DanBot utilizzato per assegnare un nuovo ID bot per la minaccia alla vittima specifica.

Le richieste HTTP hanno anche prodotto alcune scoperte interessanti. Apparentemente, il Trojan tenta l'autorizzazione con una password codificata Base64 mentre impiega anche un agente utente camuffato da Firefox.