【安全资讯】DanaBot恶意活动激增

猎影实验室 2021-11-08 06:32:05 2041人浏览

引言

DanaBot是一个恶意软件即服务平台,于 2018 年 5 月首次被发现。研究人员观察到,今年10月以来,传播DanaBot恶意软件的活动激增,包括两次大型软件供应链攻击,以及在俄语电子论坛上发起的DDoS攻击。

 

简况

大型软件供应链攻击(2021年10月22日)

2021 年 10 月 22 日,“UAParser.js”的 NPM JavaScript 包遭到破坏,分发了加密货币挖矿程序和 DanaBot恶意软件。此样本的附属 ID 为 40UAParser.js是一个“JavaScript 库,可以从User-Agent数据中检测浏览器、引擎、操作系统、CPU 和设备类型。 根据其 NPM 统计数据,UAParser.js每周有 700 万次下载。此样本的附属 ID 为 40,DanaBot 恶意软件配置如下:

第二次大型软件供应链攻击(2021年11月4日)

2021 年 11 月 4 日,另一个NPM包“COA”被破坏并分发 DanaBot。“COA”是命令行选项的解析器,每周的下载量接近 900 万次。与对“UAParser.js”的攻击相同,攻击者也是 ID 40。

 

对俄语电子论坛的DDoS攻击

此次攻击的攻击者为DanaBot 会员 ID 4,这并不是一个新的附属公司,但他们的组件配置已经有一段时间没有改变了。2021 年 10 月 20 日星期三,该附属公司对其 DanaBot 受害者进行了配置,以下载并执行一个新的可执行文件。下载的可执行文件是用 Delphi 编程语言编写的,其唯一功能是对硬编码的 IP 地址和主机实施基于 HTTP 的 DDoS 攻击。用于生成 HTTP 请求的模板如下:

正如“Host”标题所强调的那样,这次攻击的目标是一个专注于电子产品讨论的俄语论坛。

 

结论

尽管近年来 DanaBot 的流行度和活跃度有所下降,但 UAParser.js 和 COA 软件供应链攻击表明,该恶意软件仍然是一个活跃的威胁。

失陷指标(IOC)21
DanaBot 供应链攻击 拒绝服务攻击 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。