DanBot

DanBot est la principale charge utile menaçante fournie dans les attaques par un groupe APT (Advanced Persistent Threat) appelé Lyceum. Le même collectif de hackers est également nommé hexane par la communauté de la cybersécurité. Les activités de Lyceum sont concentrées sur les entités pétrolières, gazières et de télécommunications situées au Moyen-Orient strictement. Les attaques de groupe sont caractérisées par une structure très complexe impliquant plusieurs étapes. DanBot est abandonné dans la deuxième étape par un logiciel malveillant dénommé DanDrop.

À la base, DanBot est un cheval de Troie d'accès à distance qui permet aux pirates de contrôler l'ordinateur compromis dans la phase post-infection de l'attaque. Pour contacter l'infrastructure Command-and-Control (C2, C&C), DanBot utilise à la fois les protocoles DNS et HTTP.

En analysant le trafic DNS produit par le RAT, les chercheurs d'Infosec ont réussi à découvrir qu'il exfiltre certaines données système sur l'ordinateur compromis. Les demandes de domaine contiennent également des informations d'enregistrement pour le malware DanBot utilisé pour attribuer un nouvel ID de bot pour la menace à la victime spécifique.

Les requêtes HTTP ont également donné des résultats intéressants. Apparemment, le cheval de Troie tente une autorisation avec un mot de passe encodé en Base64 tout en employant également un agent utilisateur déguisé en Firefox.