Банковский троянец Danabot возвращается с версией 669 после операции Endgame

Operation Endgame, проведенная в мае 2025 года, представляла собой значительное скоординированное международное правоохранительное действие, направленное против нескольких ботнетов и киберпреступных операций. Хотя операция временно нарушила работу Danabot, злоумышленники теперь продемонстрировали свою устойчивость, восстановив свой вредонос и запустив новую кампанию с версией 669. Этот почти шестимесячный перерыв предполагает стратегический период перегруппировки, в течение которого операторы, вероятно, работали над восстановлением командной инфраструктуры и обновлением своей кодовой базы для уклонения от механизмов обнаружения, развернутых после ликвидации.

Исследователи безопасности идентифицировали несколько вновь развернутых командных серверов, что указывает на значительное диверсификацию стратегии инфраструктуры со стороны угрозоносцев. Обнаруженные конечные точки включают как традиционные серверы на основе IP-адресов, так и домены, размещенные в сети Tor, демонстрируя гибридный подход, предназначенный для повышения устойчивости и уклонения от сетевых ликвидаций. Конкретно идентифицированные серверы расположены по адресам 62.60.226[.]146:443, 62.60.226[.]154:443 и 80.64.19[.]39:443 для прямых подключений. Дополнительно операторы развернули инфраструктуру на основе Tor с использованием скрытых сервисов для сохранения анонимности и повышения устойчивости к будущим действиям правоохранительных органов. Вредонос также использует серверы обратного подключения по адресу 158.94.208[.]102 на портах 443 и 8080, которые, вероятно, облегчают обратные shell-подключения и позволяют операторам сохранять постоянный доступ к скомпрометированным системам.

Версия 669 Danabot продолжает фокусироваться на краже криптовалют, являющейся высокодоходным вектором атаки, который становится все более распространенным среди семейств банковских вредоносов. Возродившийся вариант в настоящее время настроен на таргетирование нескольких блокчейн-сетей и цифровых активов, используя выделенные адреса кошельков для каждой поддерживаемой криптовалюты. Идентифицированные адреса для кражи включают Bitcoin-адрес (12eTGpL8EqYowAfw7DdqmeiZ87R922wt5L), Ethereum-адрес (0xb49a8bad358c0adb639f43c035b8c06777487dd7), Litecoin-адрес (LedxKBWF4MiM3x9F7zmCdaxnnu8A8SUohZ) и TRON-адрес (TY4iNhGut31cMbE3M6TU5CoCXvFJ5nP59i). Такой мультивалютный подход максимизирует способность злоумышленников извлекать доход из скомпрометированных систем, независимо от того, какие криптовалюты могут хранить жертвы.

Возрождение Danabot версии 669 подчеркивает сохраняющуюся угрозу, исходящую от сложных семейств банковских вредоносов, и ограниченность разовых правоохранительных операций в постоянном устранении киберпреступной инфраструктуры. Следовательно, организациям необходимо сохранять бдительность против этой угрозы через надежные решения для обнаружения и реагирования на конечных точках, мониторинг сети на предмет идентифицированной командной инфраструктуры и обучение сотрудников основам безопасности. Финансовые учреждения и криптовалютные биржи должны внедрить усиленный мониторинг подозрительной транзакционной активности, связанной с выявленными адресами кошельков, и рассмотреть возможность реализации поведенческого анализа для обнаружения характерных для Danabot действий по внедрению команд и краже учетных данных.

Возобновление активности Danabot демонстрирует, что злоумышленники, управляющие сложными семействами вредоносов, продолжают адаптироваться, восстанавливаться и развертывать новые кампании, несмотря на значительное вмешательство правоохранительных органов. Следовательно, непрерывный мониторинг и обмен информацией среди специалистов по кибербезопасности остаются критически важными для отслеживания и смягчения этой развивающейся угрозы. Эксперты отмечают, что подобные случаи иллюстрируют необходимость более устойчивых и проактивных стратегий защиты, выходящих за рамки реактивных правоохранительных мер. В конечном счете, история Danabot служит напоминанием о динамичном характере киберугроз и постоянной потребности в международном сотрудничестве и технологических инновациях для эффективного противодействия.

IPv4 Port Combinations

• 158.94.208.102:443
• 158.94.208.102:8080
• 62.60.226.146:443
• 62.60.226.154:443
• 80.64.19.39:443

Domain Port Combinations

• aqpfkxxtvahlzr6vobt6fhj4riev7wxzoxwltbcysuybirygxzvp23ad.onion:443
• fejdqikkdwheckrutucbbyeovpdnef4bopz2fx636i67p3qpffpfxxad.onion:443
• t77e4phezpwqebpbhdagr26ewkfaxytscimhxofws4wcisjo4wundead.onion:443
• vsjyfpt7vcd6atniefmz36ikxrqk5eyv573a2af4e2ntb437wdch63yd.onion:443

BTC

• 12eTGpL8EqYowAfw7DdqmeiZ87R922wt5L

ETH

• 0xb49a8bad358c0adb639f43c035b8c06777487dd7

LTC

• LedxKBWF4MiM3x9F7zmCdaxnnu8A8SUohZ

TRX

• TY4iNhGut31cMbE3M6TU5CoCXvFJ5nP59i