Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   650 доменов DanaBot сгорели за один день — и никакого шанса на восстановление (http://txgate.io:443/showthread.php?t=51301247)

Artifact 06-11-2025 03:34 PM
<div id="post_message_796839">

Кто будет платить за MaaS, если он стучит на тебя с первой секунды?<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl3.joxi.net/drive/2025/06/11/0048/3474/3202450/50/a7af4862a9.jpg"/><br/>
<br/>
Платформа по распространению вредоносного ПО DanaBot, действовавшая более семи лет, была выведена из строя в результате крупной международной операции под названием <a href="https://www.securitylab.ru/news/559643.php" target="_blank">Operation Endgame</a> . Ключевую роль в этом сыграла <a href="https://www.ptsecurity.com/ru-ru/research/threatscape/" target="_blank">уязвимость </a>в коде самой вредоносной программы, которая, по иронии, незаметно раскрывала её внутренности специалистам по информационной безопасности на протяжении более трёх лет. Ошибка получила название DanaBleed и стала одним из самых редких случаев, когда вредоносная инфраструктура невольно предоставляла полный доступ к своим секретам.<br/>
<br/>
DanaBot представлял собой одну из старейших и стабильных <a href="https://www.securitylab.ru/news/558981.php" target="_blank">MaaS-платформ</a> . С момента <a href="https://www.proofpoint.com/us/threat-insight/post/danabot-new-banking-trojan-surfaces-down-under-0" target="_blank">появления </a>в 2018 году ботнет предоставлял клиентам функциональность для банковских хищений, кражи учётных данных, получения удалённого доступа и проведения распределённых атак отказа в обслуживании. За годы своей активности он охватил тысячи заражённых систем, оставался устойчивым к ликвидации и регулярно обновлялся.<br/>
<br/>
Всё изменилось с выходом версии 2380 в июне 2022 года. Тогда разработчики внедрили новый протокол управления (C2), но допустили критическую ошибку в логике генерации ответов сервера. Согласно техническому <a href="https://www.zscaler.com/blogs/security-research/danableed-danabot-c2-server-memory-leak-bug" target="_blank">анализу </a>Zscaler ThreatLabz, протокол должен был включать в ответы случайные padding-байты, однако выделяемая под них память не инициализировалась. Это приводило к тому, что в сетевых пакетах случайно утекали фрагменты из оперативной памяти сервера.<br/>
<br/>
Уязвимость оказалась аналогичной по природе знаменитой <a href="https://www.securitylab.ru/news/473082.php" target="_blank">HeartBleed </a>, обнаруженной в 2014 году в библиотеке OpenSSL. Только теперь жертвой утечки стала не защищающая, а атакующая сторона. Zscaler удалось незаметно для операторов DanaBot собрать и проанализировать тысячи ответов с C2-серверов, внутри которых обнаруживались:<ul><li>логины и IP-адреса участников группировки,</li>
</ul><ul><li>данные о жертвах атак, включая их IP-адреса и украденные учётные записи,</li>
</ul><ul><li>домены и IP-адреса серверов управления,</li>
</ul><ul><li>фрагменты HTML-интерфейса админпанели DanaBot,</li>
</ul><ul><li>приватные криптографические ключи,</li>
</ul><ul><li>SQL-запросы, логи отладки и даже changelog’и вредоносного ПО.</li>
</ul>Получив возможность наблюдать за всей деятельностью группировки «изнутри», специалисты в течение трёх лет вели скрытую работу по накоплению доказательств, не раскрывая источник информации. Разработчики и клиенты <a href="https://www.securitylab.ru/news/541821.php" target="_blank">DanaBot </a>не подозревали, что вся их инфраструктура функционировала в условиях утечки.<br/>
<br/>
Когда массив данных стал достаточным, был инициирован координированный удар — <a href="https://www.securitylab.ru/news/559694.php?r=1" target="_blank">операция Endgame</a> . В её рамках удалось отключить критические C2-серверы, конфисковать 650 доменов, прекратить распространение вредоноса и изъять почти 4 миллиона долларов в криптовалюте, находившихся на счетах операторов. При этом основная команда пока лишь получила обвинения — их арестовать не удалось.<br/>
<br/>
Даже несмотря на то, что физически ключевые фигуранты пока на свободе, результат операции фактически нейтрализовал угрозу. Инфраструктура разрушена, доверие к платформе внутри киберпреступного сообщества подорвано, а раскрытие такой уязвимости, как DanaBleed, стало громким ударом по репутации разработчиков. Попытки возобновления операций в будущем не исключаются, однако скомпрометированное прошлое будет серьёзным препятствием для возврата на чёрный рынок.<br/>
<br/>
DanaBot оказался жертвой собственного кода — редчайший случай, когда вредонос сам раскрыл все свои тайны. Ошибка в одном протоколе обернулась концом для всей операции.<br/>
<br/>
<a href="https://www.securitylab.ru/news/560289.php" target="_blank">@ SecurityLab.ru </a>
</div>


All times are GMT. The time now is 07:47 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.