在2022年6月更新的DanaBot惡意軟件操作中引入的最新漏洞，導致其在最近的執法行動中被識別并拆解了他們的操作。

DanaBot是一個從2018年到2025年活躍的惡意軟件即服務（MaaS）平臺，用于銀行欺詐、憑證盜竊、遠程訪問和分布式拒絕服務（DDoS）攻擊。

Zscaler的ThreatLabz研究人員發現了這個被稱為“DanaBleed”的漏洞，他們解釋說，內存泄漏使他們能夠深入了解惡意軟件的內部操作和幕后黑手。

利用該漏洞收集有關網絡犯罪分子的寶貴情報，一項名為Operation Endgame的國際執法行動使DanaBot基礎設施下線，并起訴了該威脅組織的16名成員。

DanaBleed漏洞

DanaBleed漏洞是在2022年6月隨DataBot 2380版本引入的，該版本新增了一個命令和控制（C2）協議。

新協議邏輯中的一個弱點是生成C2服務器對客戶機的響應的機制，該機制應該包含隨機生成的填充字節，但沒有為這些字節初始化新分配的內存。

Zscaler研究人員收集并分析了大量C2響應，由于內存泄漏錯誤，這些響應包含來自服務器內存的剩余數據片段。

這次暴露類似于2014年發現的HeartBleed問題，影響了無處不在的OpenSSL軟件。隨著時間的推移，DanaBleed向研究人員提供了大量私人數據，包括：

·威脅參與者詳細信息（用戶名、IP地址）

·后端基礎設施（C2服務器ip /域）

·受害者數據（IP地址、憑據、泄露信息）

·惡意軟件的更新日志

·私有密碼密鑰

·SQL查詢和調試日志

·C2控制面板的HTML和網頁界面片段

在三年多的時間里，DanaBot一直以一種受攻擊的模式運行，而其開發人員或客戶卻沒有意識到他們被暴露給了安全研究人員。這使得當執法部門收集到足夠的數據時便能一擊即中。

C2服務器響應中泄露的HTML數據

雖然DanaBot在俄羅斯的核心團隊只是被起訴而沒有被逮捕，但關鍵的C2服務器、650個域名和近400萬美元的加密貨幣被扣押已經有效地消除了目前的威脅。即使威脅者在未來試圖重返網絡犯罪活動，但其黑客社區信任度的下降也將是他們面臨的一個重大障礙。

參考及來源：https://www.bleepingcomputer.com/news/security/danabot-malware-operators-exposed-via-c2-bug-added-in-2022/