DanaBotの復活:6ヶ月の沈黙を破りWindowsを再び標的に
DanaBotマルウェアが、法執行機関による「Operation Endgame」によって5月に活動が中断されてから6ヶ月ぶりに、新たなバージョンで攻撃を再開していることが確認されました。Zscaler ThreatLabzのセキュリティ研究者によると、新バージョンのDanaBot(バージョン669)は、Torドメイン(.onion)と「バックコネクト」ノードを使用するコマンド&コントロール(C2)インフラを備えています。Zscalerはまた、脅威アクターが盗んだ資金を受け取るために使用している複数の暗号通貨アドレス(BTC、ETH、LTC、TRX)も特定し、公開しています。
DanaBotの歴史と進化
DanaBotは、Proofpointの研究者によってDelphiベースのバンキング型トロイの木馬として初めて開示され、電子メールやマルバタイジングを通じて配布されていました。これはサービスとしてのマルウェア(MaaS)モデルで運用され、サイバー犯罪者にサブスクリプション料金で貸し出されていました。その後数年間で、このマルウェアはモジュール式の情報窃取型ローダーへと進化し、Webブラウザに保存された認証情報や暗号通貨ウォレットのデータを標的とするようになりました。DanaBotは2021年以降も大規模なキャンペーンで利用され、インターネットユーザーにとって継続的な脅威であり続けていました。
「Operation Endgame」とサイバー犯罪者の回復力
今年5月、国際的な法執行機関による「Operation Endgame」と名付けられた取り組みにより、DanaBotのインフラは破壊され、起訴と押収が発表され、その運用は大幅に低下しました。しかし、Zscalerによると、DanaBotはインフラを再構築し、再び活動を活発化させています。DanaBotの運用が停止している間、多くの初期アクセスブローカー(IAB)は他のマルウェアに移行していました。DanaBotの再浮上は、主要なオペレーターが逮捕されない限り、サイバー犯罪者が金銭的インセンティブがある限り、数ヶ月間の混乱にもかかわらず活動を継続する回復力を持っていることを示しています。
感染経路と防御策
DanaBot感染で確認されている典型的な初期アクセス方法は以下の通りです。
- 悪意のある電子メール(リンクまたは添付ファイルを介して)
- SEOポイズニング
- マルバタイジングキャンペーン(一部はランサムウェアにつながるものも)
組織は、Zscalerが提供する新しい侵害指標(IoC)をブロックリストに追加し、セキュリティツールを更新することで、DanaBot攻撃から防御することができます。