DanaBot знешкоджено через фатальну помилку у C2-протоколі

11 червня 2025 1 хвилина Автор: Newsman

Критична вразливість DanaBleed у зловмисному C2-протоколі DanaBot, що діяла з 2022 року, дозволила дослідникам викрити 16 кіберзлочинців, зібрати секретну інформацію та ліквідувати інфраструктуру одного з найнебезпечніших MaaS-сервісів останніх років.

Згідно з новим звітом Zscaler ThreatLabz, банківський троян DanaBot, активний із 2018 року, став фатально вразливим після оновлення протоколу C2 в червні 2022 року (версія 2380). Через логічну помилку в генерації заповнювачів (padding bytes), сервери залишали у відповідях дані з оперативної пам’яті, які з часом накопичувалися у відповідях до ботів.

Ці залишки — на кшталт HeartBleed, але в малварі — дозволили дослідникам виявити:

* IP-адреси та імена користувачів операторів;
* приватні криптографічні ключі;
* логіни жертв і витягнуті облікові дані;
* SQL-запити, веб-фрагменти C2-інтерфейсу, changelog’и;
* повну карту backend-інфраструктури та доменів.

Ці дані стали основою для масштабної міжнародної операції Endgame, у межах якої знищено 650 доменів, вилучено ~$4 млн у криптовалюті, а 16 учасників угруповання було офіційно обвинувачено.

DanaBot належить до класу Malware-as-a-Service — його використовували різні групи для крадіжки банківських даних, паролів, DDoS-атак та повного контролю над зараженими пристроями. Хоча основна команда (ймовірно, з РФ) поки не заарештована, репутаційний удар після викриття багу DanaBleed зробить повернення на “ринок” вкрай складним. Зібрані протягом трьох років докази показують, наскільки критичним може бути навіть невеликий програмний дефект у зловмисній архітектурі. Дослідники діяли мовчки, поступово накопичуючи дані для успішної ліквідації всієї інфраструктури.

DanaBleed став вбивчим аргументом проти повної впевненості кіберзлочинців у своїй анонімності. Цей кейс — нагадування, що навіть найвитонченіші ботнети можуть пасти жертвами своїх власних багів. Ліквідація DanaBot — не лише технічна перемога, а й потужний сигнал для спільноти white hats про ефективність пасивного спостереження, аналітики та цілеспрямованого збору доказів.

Інші статті по темі
Новини
Читати далі
У Нігерії засудили 9 громадян Китаю за участь у міжнародному кіберсиндикаті
У Нігерії засудили девʼятьох громадян Китаю за участь у кіберсиндикаті, який вербував місцеву молодь для онлайн-шахрайств. Операція EFCC викрила понад 780 осіб, що діяли в схемах романтичних, криптовалютних та інвестиційних афер. Суд призначив тюремні строки й штрафи.
56
Новини
Читати далі
Через зламану систему транспортного департаменту Техасу викрадено дані про майже 300 тисяч ДТП
Понад 300 000 звітів про ДТП викрадено з транспортного департаменту Техасу через злам акаунту в системі CRIS. У звітах — особисті дані водіїв, поліси, травми, описи аварій. Того ж дня аналогічна атака сталася в Іллінойсі. Дізнайтеся, як реагують штати та що робити постраждалим.
57
Новини
Читати далі
Наші військові виявили NVIDIA-чіпи у нових російських БПЛА
Російські AI-дрони V2U, що використовуються на фронті в Україні, працюють на базі чипа NVIDIA Jetson Orin, незважаючи на офіційні санкції. Дрон має автономне наведення, обробляє зображення з камери замість GPS і містить західні та китайські компоненти. Українська розвідка виявила, що ці БПЛА активно застосовуються проти Сумського напрямку.
79
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.