DanaBot: Эволюция банковского трояна в универсальную киберугрозу
С момента своего появления в 2018 году DanaBot претерпел значительные преобразования: из банковского трояна он превратился в сложную и универсальную платформу угроз, ориентированную прежде всего на кражу информации и последующую доставку программ-вымогателей. Несмотря на активную деятельность вплоть до 2025 года, DanaBot пережил серьёзный кризис в ходе операции Endgame II, направленной на демонтаж его инфраструктуры.
Масштабы и география воздействия
За время своей активности DanaBot ежедневно управлял примерно 150 серверами управления (C2) и затрагивал около 1000 жертв в более чем 40 странах, с особенно высокой активностью в США и Мексике. Особенностью данного ботнета является высокая скрытность — лишь около 25% серверов C2 получили заметную оценку на VirusTotal, что свидетельствует о продуманной стратегии избирательного таргетинга и цикличности операций, зависящей от важных событий.
Архитектура и тактика работы пула DanaBot
- Многоуровневая архитектура: платформа включает несколько уровней серверов C2 — уровень 1 (T1), уровень 2 (T2) и уровень 3 (T3).
- Соединения: заражённые устройства обычно подключаются напрямую к серверам T1 по протоколу TCP/443, которые в свою очередь взаимодействуют с серверами T2 и T3.
- Географическое размещение: значительная часть серверов T1 размещена у одного облачного провайдера, что упрощает управление, но повышает риски при атаках на инфраструктуру.
- Оппортунистический таргетинг: резкие всплески активности собираются вокруг значимых событий, таких как выборы в США в ноябре 2024 года и декабрьские праздники.
Характеристики инфраструктуры
В ходе анализа выявлено около 400 уникальных IP-адресов для серверов C2. Средний срок службы каждого сервера превышает один месяц, что говорит о высокой устойчивости инфраструктуры. При этом заражения носили кратковременный характер, позволяя злоумышленникам быстро изъять необходимые данные.
Кроме непосредственной поддержки банковского мошенничества, DanaBot служит платформой для распространения других вредоносных программ и рэнсомваре, создавая сложную экосистему с разнообразными каналами коммуникации.
Технические особенности коммуникаций и сегментация
- Связь между серверами T2 преимущественно осуществляется по протоколу TCP/443, однако для некоторых изолированных групп использовался альтернативный порт TCP/23213.
- Такая сегментация сигнализирует о наличии различных операционных групп внутри платформы DanaBot, каждая из которых имеет свои задачи и методы взаимодействия.
- Связь с серверами T3, в основном размещёнными в России, происходит по множеству протоколов, что указывает на хорошо продуманную и устойчивую внутреннюю коммуникационную систему для управления ботнетом.
Заключение: постійная угроза кибербезопасности
Платформа DanaBot доказала свою способность к адаптации и развитию в ответ на современные механизмы обнаружения вредоносного ПО. Многоуровневая архитектура, высокая скрытность и оперативная тактика эксплуатации делают её одной из наиболее серьезных угроз в сфере кибербезопасности.
Как отмечается в совместном отчёте Black Lotus Labs и Team Cymru, «эффективность совместных следственных и аналитических усилий играет ключевую роль в противодействии таким сложным и устойчивым угрозам». Это подчёркивает важность объединения ресурсов для борьбы с DanaBot и подобными ему вредоносными платформами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция DanaBot: Угроза банковского трояна и платформы вымогателей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.