DanBot

DanBot to główny ładunek groźny dostarczany w atakach grupy Advanced Persistent Threat (APT) o nazwie Lyceum. Ten sam zespół hakerów jest również nazywany heksanem przez społeczność cyberbezpieczeństwa. Działalność Liceum skupia się na podmiotach naftowych, gazowych i telekomunikacyjnych ściśle zlokalizowanych na Bliskim Wschodzie. Ataki grupowe charakteryzują się bardzo złożoną strukturą obejmującą kilka etapów. DanBot jest upuszczany w drugim etapie przez złośliwe oprogramowanie typu dropper o nazwie DanDrop.

Zasadniczo DanBot jest trojanem zdalnego dostępu, który umożliwia hakerom kontrolowanie zaatakowanego komputera w fazie po infekcji ataku. Aby skontaktować się z infrastrukturą Command-and-Control (C2, C&C), DanBot korzysta z protokołów DNS i HTTP.

Analizując ruch DNS generowany przez RAT, badaczom infosec udało się odkryć, że wydziela on pewne dane systemowe dotyczące zaatakowanego komputera. Żądania domeny zawierają również informacje rejestracyjne dla szkodliwego oprogramowania DanBot używanego do przypisania nowego identyfikatora bota dla zagrożenia konkretnej ofierze.

Żądania HTTP przyniosły również interesujące wyniki. Najwyraźniej trojan próbuje autoryzować się za pomocą hasła zakodowanego w Base64, wykorzystując jednocześnie agenta użytkownika przebranego za przeglądarkę Firefox.