【安全资讯】DanaBot恶意活动激增

引言

DanaBot是一个恶意软件即服务平台，于 2018 年 5 月首次被发现。研究人员观察到，今年10月以来，传播DanaBot恶意软件的活动激增，包括两次大型软件供应链攻击，以及在俄语电子论坛上发起的DDoS攻击。

简况

大型软件供应链攻击（2021年10月22日）

2021 年 10 月 22 日，“UAParser.js”的 NPM JavaScript 包遭到破坏，分发了加密货币挖矿程序和 DanaBot恶意软件。此样本的附属 ID 为 40UAParser.js是一个“JavaScript 库，可以从User-Agent数据中检测浏览器、引擎、操作系统、CPU 和设备类型。 根据其 NPM 统计数据，UAParser.js每周有 700 万次下载。此样本的附属 ID 为 40，DanaBot 恶意软件配置如下：

第二次大型软件供应链攻击（2021年11月4日）

2021 年 11 月 4 日，另一个NPM包“COA”被破坏并分发 DanaBot。“COA”是命令行选项的解析器，每周的下载量接近 900 万次。与对“UAParser.js”的攻击相同，攻击者也是 ID 40。

对俄语电子论坛的DDoS攻击

此次攻击的攻击者为DanaBot 会员 ID 4，这并不是一个新的附属公司，但他们的组件配置已经有一段时间没有改变了。2021 年 10 月 20 日星期三，该附属公司对其 DanaBot 受害者进行了配置，以下载并执行一个新的可执行文件。下载的可执行文件是用 Delphi 编程语言编写的，其唯一功能是对硬编码的 IP 地址和主机实施基于 HTTP 的 DDoS 攻击。用于生成 HTTP 请求的模板如下：

正如“Host”标题所强调的那样，这次攻击的目标是一个专注于电子产品讨论的俄语论坛。

结论

尽管近年来 DanaBot 的流行度和活跃度有所下降，但 UAParser.js 和 COA 软件供应链攻击表明，该恶意软件仍然是一个活跃的威胁。