DanDrop

DanDrop to narzędzie do usuwania złośliwego oprogramowania, będące częścią arsenału grupy Advanced Persistent Threat (APT) o nazwie Lyceum lub Hexane, stworzonej przez społeczność cyberbezpieczeństwa. DanDrop jest dostarczany w pierwszym etapie łańcucha ataków Lyceum i jest odpowiedzialny za stworzenie kopii głównego szkodliwego narzędzia hakerów - trojana zdalnego dostępu o nazwie DanBot .

Aby dostarczyć DanDrop do docelowego komputera, jest on osadzony w dokumentach Microsoft Office jako makro VBA. Dokumenty, na których znajduje się zakraplacz, zostały zaprojektowane tak, aby były jak najbardziej kuszące i zawierają takie nazwy, jak „Najgorsze hasła 2017 r." I „Dziesięć najważniejszych praktyk bezpieczeństwa". Wykryto również dokumenty w całości napisane w języku arabskim.

Samo złośliwe oprogramowanie składa się z kilku funkcji VBA. Główna funkcja jest uruchamiana, gdy docelowy użytkownik otwiera uszkodzony dokument MS i jest zaprogramowany do wykonywania wielu działań w zaatakowanym systemie. Najpierw ustawia widoczność niektórych arkuszy z dokumentem, po czym przechodzi do tworzenia Users \ Public \ PublicPics w katalogu MyDocuments. Następnym krokiem jest odszyfrowanie danych zakodowanych w Base64 z dokumentu i zapisanie ich w dwóch zmiennych o nazwach ert i cnf. Zmienne są następnie zapisywane w dwóch plikach - ATrce.e i ATrce.ex, po czym pliki otrzymują nowe nazwy ATrce.exe i ATrce.exe.config. Na koniec wywołuje funkcję SdT, która może uruchomić porzucony ładunek DanBota w późniejszym czasie.