<div id="post_message_797688">

Эксперты <a href="http://www.zscaler.com/blogs/security-research/danableed-danabot-c2-server-memory-leak-bug" target="_blank">рассказали </a>об уязвимости в DanaBot, которая появилась в коде малвари еще в июне 2022 года. Этот баг позволил исследователям выявить операторов DanaBot, предъявить им обвинения, а также нарушить работу ботнета в мае 2025 года.<br/>
<br/>
Напомним, что DanaBot <a href="https://www.proofpoint.com/us/threat-insight/post/danabot-new-banking-trojan-surfaces-down-under-0" target="_blank">появился </a>еще в 2018 году. Изначально вредонос был нацелен на Украину, Польшу, Австрию, Италию, Германию и Австралию, но вскоре распространился и на Северную Америку. Вредонос распространялся по модели MaaS (Malware-as-a-service, «Малварь как услуга») и сначала был банковским трояном, позволявшим похищать конфиденциальные данные из зараженных систем. Позже он <a href="https://xakep.ru/2018/12/07/danabot-spam/" target="_blank">превратился </a>в платформу распространения и загрузчик для других семейств вредоносных программ, включая вымогательское ПО.<br/>
<br/>
Также позже администраторы DanaBot создали вторую версию своего ботнета в целях кибершпионажа, нацеленную на военные, дипломатические и правительственные организации в Северной Америке и странах Европы.<br/>
<br/>
Специалисты компании Zscaler, обнаружившие уязвимость, которая получила название DanaBleed, объясняют, что эта утечка памяти позволяла проникнуть во внутренние операции злоумышленников и узнать, кто за ними стоит.<br/>
<br/>
Благодаря использованию этой уязвимости была собрана ценная информация о киберпреступниках, что позволило правоохранительным органам провести <a href="https://xakep.ru/2025/05/26/danabot-endgame/" target="_blank">операцию «Эндшпиль» </a>и вывести инфраструктуру DanaBot из строя, а также выдать ордера на арест 16 граждан России, которые якобы связаны с активностью малвари.<br/>
<br/>
По словам специалистов, проблема DanaBleed появилась в коде вредоноса в июне 2022 года, в версии 2380, куда был добавлен новый C&amp;C-протокол. Ошибка в логике нового протокола оказалась связана с механизмом генерации ответов сервера клиентам. Так, сервер должен был включать в ответы случайно сгенерированные байты (padding bytes), однако не инициализировал для них недавно выделенную память.<br/>
<br/>
В итоге исследователи Zscaler смогли собрать и проанализировать большое количество C&amp;C-ответов, которые из-за бага содержали фрагменты данных из памяти сервера.<br/>
<br/>
Проблема получила название DanaBleed, так как напоминала уязвимость <a href="https://xakep.ru/2014/04/08/62324/" target="_blank">HeartBleed</a>, обнаруженную в 2014 году и затронувшую OpenSSL.<br/>
<br/>
С помощью DanaBleed исследователи собрали широкий спектр данных, включая:<ul><li>информацию об участниках группировки (имена пользователей, IP-адреса);</li>
</ul><ul><li>данные о бэкэнд-инфраструктуре (IP-адреса, домены управляющих серверов);</li>
</ul><ul><li>данные о жертвах (IP-адреса, учетные данные, похищенную информацию);</li>
</ul><ul><li>логи внесенных в малварь изменений;</li>
</ul><ul><li>приватные криптографические ключи;</li>
</ul><ul><li>SQL-запросы и журналы отладки;</li>
</ul><ul><li>фрагменты HTML и веб-интерфейса панели управления C&amp;C.</li>
</ul><img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/521539/leaked-html.jpg"/><br/>
<br/>
Более трех лет DanaBot оставался уязвимым, а разработчики и клиенты малвари даже не подозревали, что все это время за ними внимательно наблюдают ИБ-специалисты.<br/>
<br/>
После операции «Эндшпиль» подозреваемым были предъявлены лишь заочные обвинения, и арестов не последовало. Исследователи полагают, что конфискация серверов, 2650 доменов и почти 4 000 000 в криптовалюте позволит временно нейтрализовать угрозу. Однако не исключается, что в будущем DanaBot вновь вернется в строй и возобновит свои операции.<br/>
<br/>
<a href="https://xakep.ru/2025/06/16/danableed/" target="_blank">@ xakep.ru</a>
</div>