DanBot

DanBot is de belangrijkste bedreigende lading die wordt geleverd bij aanvallen door een Advanced Persistent Threat (APT) -groep genaamd Lyceum . Hetzelfde collectief van hackers wordt ook hexaan genoemd door de cybersecurity-gemeenschap. Lyceum's activiteiten zijn uitsluitend gericht op olie-, gas- en telecommunicatie-entiteiten die zich in het Midden-Oosten bevinden. De groepsaanvallen worden gekenmerkt door een zeer complexe structuur met verschillende fasen. DanBot wordt in de tweede fase gedropt door een dropper-malware genaamd DanDrop .

DanBot is in wezen een Trojan voor externe toegang waarmee hackers de besmette computer kunnen besturen in de fase na de infectie van de aanval. Om contact op te nemen met de Command-and-Control-infrastructuur (C2, C&C), gebruikt DanBot zowel de DNS- als de HTTP-protocollen.

Door het DNS-verkeer van de RAT te analyseren, zijn de onderzoekers van infosec erin geslaagd te ontdekken dat het bepaalde systeemgegevens over de gecompromitteerde computer exfiltreert. De domeinverzoeken bevatten ook registratie-informatie voor de DanBot-malware die wordt gebruikt voor het toewijzen van een nieuwe bot-ID voor de dreiging aan het specifieke slachtoffer.

De HTTP-verzoeken hebben ook enkele interessante vondsten opgeleverd. Blijkbaar probeert de Trojan te autoriseren met een Base64-gecodeerd wachtwoord, terwijl hij ook een user-agent gebruikt die is vermomd als Firefox.