Agencije za provođenje zakona uspješno su poremetile jednu od najsofisticiranijih platformi za maliciozni softver kao uslugu koja je djelovala 2025. godine, nanijevši značajan udarac DanaBot botnetu kroz Operaciju Endgame II.
Koordinirani međunarodni napori usmjereni su na kriminalnu infrastrukturu koja je u prosjeku održavala 150 aktivnih komandno-kontrolnih servera dnevno, ugrožavajući pritom približno 1.000 žrtava u više od 40 zemalja.
Ovo uklanjanje predstavlja jednu od najopsežnijih akcija protiv sajber kriminalne infrastrukture do danas, demonstrirajući efikasnost zajedničkih napora između istraživača sigurnosti, industrijskih partnera i agencija za provođenje zakona.
DanaBot se prvi put pojavio 2018. godine kao bankarski trojanac prvenstveno dizajniran za krađu finansijskih podataka, ali se od tada razvio u svestranu i upornu prijetnju sposobnu da podrži širok spektar zlonamjernih aktivnosti.
Istraživači Proofpointa su prvobitno prijavili da se maliciozni softver transformisao iz jednostavnog bankarskog trojanca u sofisticiranu platformu koja se koristi za krađu informacija, uspostavljanje početnog pristupa za ransomware operacije i isporuku sekundarnih sadržaja poput zlonamjernog softvera Latrodectus.
Ova evolucija pozicionirala je DanaBot kao ključnu komponentu u modernom ekosistemu sajber kriminala, gdje se akteri prijetnji sve više oslanjaju na specijalizovane alate za različite faze svojih napadačkih kampanja.
Analitičari i istraživači tima Cymru, radeći zajedno s Black Lotus Labsom, identifikovali su puni opseg DanaBotove infrastrukture kroz opsežnu saradnju s kolegama iz industrije i agencijama za provođenje zakona.
Njihova istraga je otkrila da je DanaBot djelovao kao jedna od najvećih platformi za maliciozni softver kao uslugu prema broju komandno-kontrolnih servera, iako je njegov dnevni broj žrtava ostao relativno skroman u poređenju s drugim botnet mrežama slične veličine.
Istraživački timovi su otkrili da uspjeh malicioznog softvera djelimično proizlazi iz njegovih sposobnosti prikrivanja, s obzirom na to da je samo 25 posto njegovih C2 servera postiglo rezultate detekcije veće od nule u VirusTotalu, što ukazuje na to da je značajan dio infrastrukture ostao neotkriven tradicionalnim sigurnosnim alatima .
Geografska distribucija žrtava pokazala je zabrinjavajuće obrasce, pri čemu se Meksiko, Brazil i Sjedinjene Američke Države konstantno nalaze među najpogođenijim regijama.
Uprkos globalnom dosegu botneta, relativno ciljana priroda napada sugerisala je da su operateri DanaBota birali manje meta od drugih botnet botneta sličnih mogućnosti, vjerovatno se fokusirajući na visoko vrijedne žrtve i tempirajući svoje operacije oko značajnih događaja poput američkih izbora u novembru 2024. i decembarske praznične sezone.
Višeslojna arhitektura infrastrukture
Tehnička sofisticiranost DanaBota postala je očigledna kroz implementaciju složene višeslojne arhitekture komandovanja i kontrole, dizajnirane da prikrije pravu lokaciju prijetnji i pruži otpornost na pokušaje uklanjanja sistema.
Infrastruktura je koristila slojevit komunikacijski sistem između žrtava i kontrolora botneta, gdje je promet obično proslijedivan kroz dva ili tri nivoa C2 servera prije nego što je stigao do konačnog operativnog nivoa kojim su upravljali sami akteri prijetnje.
.webp)
Kada bi žrtva postala zaražena malicioznim softverom DanaBot, njen sistem bi inicirao komunikaciju sa jednim ili više Tier 1 C2 servera preko TCP porta 443.
.webp)
Ovi Tier 1 serveri su funkcionisali kao početna tačka kontakta, dizajnirani da se sistemima za nadzor mreže prikazuju kao legitimni saobraćaj .
U zavisnosti od nivoa pretplate i privilegija pristupa partnera, ovi T1 C2 bi zatim komunicirali sa namenskim ili dijeljenim Tier 2 serverima, stvarajući dodatni sloj obfuskacije između žrtava i stvarnih operatera.
.webp)
Serveri drugog nivoa održavali su veze sa uzvodnim komandnim snagama trećeg nivoa, za koje su istražitelji utvrdili da se nalaze u Rusiji, što ukazuje na geografsko porijeklo operacije.
.webp)
Komunikacija između T2 i T3 servera koristila je različite portove, uključujući TCP/15643 za određene konfiguracije klastera i TCP/443 za druge, što ukazuje na sofisticirano upravljanje prometom i prakse operativne sigurnosti .
Ovaj višeslojni pristup, sličan arhitekturama koje koriste druge istaknute porodice malicioznog softvera poput Emoteta i Qakbota, efikasno je izolovao osnovnu operativnu infrastrukturu od direktne izloženosti istraživačima sigurnosti i agencijama za provođenje zakona.
Izvor: CyberSecurityNews
