DanBot

DanBot es la principal carga útil amenazadora entregada en los ataques de un grupo de amenazas persistentes avanzadas (APT) llamado Lyceum . El mismo colectivo de piratas informáticos también recibe el nombre de hexano por parte de la comunidad de ciberseguridad. Las operaciones de Lyceum se centran en entidades de petróleo, gas y telecomunicaciones ubicadas estrictamente en el Medio Oriente. Los ataques grupales se caracterizan por una estructura muy compleja que involucra varias etapas. DanBot es eliminado en la segunda etapa por un malware de cuentagotas llamado DanDrop .

En esencia, DanBot es un troyano de acceso remoto que permite a los piratas informáticos controlar la computadora comprometida en la fase posterior a la infección del ataque. Para comunicarse con la infraestructura de Comando y Control (C2, C&C), DanBot usa los protocolos DNS y HTTP.

Al analizar el tráfico de DNS producido por la RAT, los investigadores de infosec lograron descubrir que exfiltra ciertos datos del sistema sobre la computadora comprometida. Las solicitudes de dominio también contienen información de registro para el malware DanBot que se utiliza para asignar una nueva ID de bot para la amenaza a la víctima específica.

Las solicitudes HTTP también han arrojado algunos hallazgos interesantes. Aparentemente, el troyano intenta la autorización con una contraseña codificada en Base64 mientras también emplea un agente de usuario disfrazado de Firefox.

Tendencias

Mas Visto

Cargando...