DanBot

DanBot ist die wichtigste bedrohliche Nutzlast bei Angriffen einer Advanced Persistent Threat (APT) -Gruppe namens Lyceum. Das gleiche Hacker-Kollektiv wird von der Cybersecurity-Community auch als Hexan bezeichnet. Die Aktivitäten von Lyceum konzentrieren sich ausschließlich auf Öl-, Gas- und Telekommunikationsunternehmen im Nahen Osten. Die Gruppenangriffe zeichnen sich durch eine hochkomplexe Struktur aus, die mehrere Phasen umfasst. DanBot wird in der zweiten Phase von einer Dropper-Malware namens DanDrop heruntergeladen.

Im Kern ist DanBot ein RAS-Trojaner, mit dem Hacker den kompromittierten Computer in der Phase nach der Infektion des Angriffs steuern können. DanBot verwendet sowohl das DNS- als auch das HTTP-Protokoll, um Kontakt mit der Command-and-Control-Infrastruktur (C2, C & C) aufzunehmen.

Durch die Analyse des von der RAT erzeugten DNS-Verkehrs konnten Infosec-Forscher feststellen, dass bestimmte Systemdaten über den gefährdeten Computer herausgefiltert werden. Die Domain-Anfragen enthalten auch Registrierungsinformationen für die DanBot-Malware, die zum Zuweisen einer neuen Bot-ID für die Bedrohung des jeweiligen Opfers verwendet wird.

Die HTTP-Anfragen haben auch einige interessante Funde ergeben. Anscheinend versucht der Trojaner die Autorisierung mit einem Base64-codierten Kennwort, während er gleichzeitig einen als Firefox getarnten Benutzeragenten verwendet.