La vulnerabilidad en la operación de software malicioso de Danabot introdujo en junio de 2022 actualizaciones de actualización condujo a la identificación, acusación y desmantelamiento de sus operaciones en una acción reciente de aplicación de la ley.
Danabot es una plataforma maliciosa como un servicio activo (MAAS) de 2018 a 2025, utilizado para fraude bancario, robo de identificación, acceso remoto y ataques de DENI distribuidos (DDoS).
Investigación de amenazas de zscal Vulnerabilidad descubiertaApodado “Dableed”, explique que una fuga de memoria les ha permitido adquirir un pico profundo en el malware interno y las personas detrás.
Aprovechar la falla para percibir información preciosa sobre ciberdelincuentes ha permitido una acción internacional para aplicar la ley llamada “Operación del juego final” para retirar la infraestructura de Danabot fuera de línea y acusado a 16 miembros del grupo de amenazas.
Dable
La faille dable se introdujo en junio de 2022 con la versión 2380 de Databot, que agregó un nuevo protocolo de control y control (C2).
Una debilidad de la lógica del nuevo protocolo estaba en el mecanismo que generó las respuestas del servidor C2 a los clientes, que debía incluir bytes de relleno generados al azar pero no inicializaron la memoria recién asignada para ellos.
Los investigadores de ZScaller recopilaron y analizaron una gran cantidad de respuestas C2 que, debido al error de fuga de memoria, contenían fragmentos de los datos restantes de la memoria del servidor.
Esta exposición es similar a la De corazón Problema descubierto en 2014, impactando el software Omnipresent OpenSSL.
Después de Dableed, una amplia gama de datos privados se expuso a los investigadores a lo largo del tiempo, en particular:
- Detalles del actor de amenaza (nombres de usuario, direcciones IP)
- Infraestructura de back -end (Servidor C2 IPS / Dominios)
- Datos de víctimas (direcciones IP, información de identificación, información exfiltrada)
- Malware Changelogs
- Claves criptográficas privadas
- Solicitudes de SQL y depuración de periódicos
- HTML e extractos de interfaz web del tablero C2
Durante más de tres años, Danabot ha trabajado en un modo de compromiso sin que sus desarrolladores o clientes se dan cuenta de que estaban expuestos a investigadores de seguridad.
Esto ha permitido medidas de ley específicas cuando se han recopilado suficientes datos.
Fuente: Zscaler
Aunque el equipo principal de Danabot en Rusia simplemente ha sido acusado y desonsejado, la incautación de los servidores C2 C2 C2, 650 dominios y casi $ 4,000,000 en criptomoneda han neutralizado efectivamente la amenaza por el momento.
No es poco probable que los actores de amenaza intenten regresar a las operaciones de delitos cibernéticos en el futuro, pero la reducción en la confianza de la comunidad pirata será un obstáculo importante para ellos.
El correctivo significaba scripts complejos, largas horas y ejercicios interminables de fuego. No más.
En esta nueva guía, los dientes descomponen la forma en que las organizaciones modernas de TI están ganando energía con la automatización. Parche más rápido, reduzca los costos generales y se centre en el trabajo estratégico, no se requiere un guión complejo.