Endgame II. Operasyonu, 2018’de ortaya çıkmasından bu yana sistemleri rahatsız eden kötü şöhretli bir kötü amaçlı yazılım olan Danabot’a karşı yıkıcı bir grev yaptı.
Başlangıçta finansal kimlik bilgilerini hedefleyen bir bankacılık Truva atı olarak tasarlanan Danabot, çok amaçlı bir tehdide dönüştü, bilgi hırsızlığını kolaylaştırdı ve Latrodectus gibi yükler yoluyla fidye yazılımları gibi ikincil saldırıları sağladı.
2025’teki zirvede, Danabot günde ortalama 150 aktif komuta ve kontrol (C2) sunucusu sürdürerek 40’tan fazla ülkede yaklaşık 1.000 kurbana saldırı düzenledi ve Meksika ve Amerika Birleşik Devletleri etkinin bruntunu taşıyor.
.png
)
Black Lotus Labs, Team Cymru, kolluk ve PQ Hosting / Stark Industries gibi endüstri ortakları içeren bu operasyon, bu genişleyen botnet’i bozdu, altyapısının önemli bir bölümünü ortadan kaldırdı ve dayanıklılığının arkasındaki sofistike taktikleri ortaya çıkardı.
Kalıcı bir siber tehdide büyük bir darbe
Danabot’un gücü, izlemeyi gizlemek ve operatörlerini yalıtmak için tasarlanmış karmaşık, çok katmanlı C2 mimarisinde yatıyordu.
Enfekte sistemler, TCP/443 üzerinden Seviye 1 (T1) sunucuları ile iletişim kurdu, bunlar genellikle bağlı kuruluş erişim seviyelerine göre adanmış veya paylaşılan Seviye 2 (T2) sunucuları üzerinden yönlendirildi ve baskın olarak Rusya’da barındırılan Seviye 3 (T3) sunucuları aracılığıyla daha fazla proxed.
Emotet ve Qakbot gibi diğer kötü amaçlı yazılımlar tarafından kullanılan bu katmanlı kurulum, doğrudan ilişkilendirmeyi zorlaştırdı.
Herhangi bir zamanda, T1 sunucularının üçte biri tek bir bulut sağlayıcısı aracılığıyla çalışırken, yönetim altyapısı Novosibirsk, Rusya’daki konut IP’lerine ve Adman-AS gibi proxy hizmetlerine bağlandı.
Operasyon Endgame II, 2025’te aktif olan yaklaşık 400 farklı C2 IPS’yi ortaya çıkardı ve sadece% 25’i Virustotal’da işaretlendi ve Danabot’un gizliliğini hedeflenen saldırılar ve 2024 ABD seçimi gibi yüksek profilli olaylar etrafında stratejik zamanlama ile vurguladı.
Ayrıca, mağdur verileri genellikle Tor ile geçiş yaptı ve hukuk firmaları ve üniversiteler gibi yüksek değerli hedefler de dahil olmak üzere haftalık 1.000 ila 3.000 arasında değişen gerçek enfeksiyon ölçeğini gizledi.
Karmaşık çok katmanlı bir mimariyi çözmek
Operasyonun başarısı, TCP/2048’de veri alışverişi yapan şüpheli yedekleme sunucularının yanı sıra RDP ve VNC üzerinden uzaktan erişim için kullanılan arka uç atlama kutularını ortaya çıkaran titiz telemetri analizi ve istihbarat toplantısından kaynaklandı.
“Bulut” küme aktivitesindeki Nisan 2025’in durması gibi kesinti sürelerine rağmen, Danabot’un operatörleri altyapı bisiklete binerek ve bir ay boyunca ortalama C2 yaşam döngüsünü koruyarak uyarlanabilirlik gösterdiler.
Bununla birlikte, yayından kaldırma, T2 ve T3 düğümlerini bozdu, iletişim kanallarını kopardı ve günlük saldırıları durdurdu.
Black Lotus Labs, GitHub’daki uzlaşma göstergelerinin (IOCS) bir listesini paylaşarak savunucuları artık aktiviteyi izlemeye çağırdı.
Siber tehditler başlangıç erişim brokerleri ve çeşitlendirilmiş kötü amaçlı yazılım sunumu ile gelişmeye devam ettikçe, bu işbirlikçi çaba, siber suçlara karşı birleşik eylemin gücünün altını çizerek, sürekli uyanıklık ve gelişmiş ağ savunmalarının Danabot gibi en kalıcı tehditleri bile engelleyebileceği umudu sunuyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!