Уязвимость DanaBleed: утечка памяти в сервере управления DanaBot раскрыла секреты киберпреступников

DanaBot - это платформа Malware-as-a-Service (MaaS), действующая с 2018 года. Преступники использовали её для кражи учетных данных, банковского мошенничества и даже кибератак на государственные структуры, включая атаку на Министерство обороны Украины во время вторжения России в 2022 году. В мае 2025 года в рамках операции Endgame правоохранительные органы ликвидировали инфраструктуру DanaBot и предъявили обвинения 16 участникам группировки.

Уязвимость DanaBleed появилась в июне 2022 года после обновления DanaBot до версии 2380. Изменения в протоколе взаимодействия с C2-сервером привели к тому, что сервер начал передавать фрагменты своей оперативной памяти в ответах заражённым устройствам. Это позволило исследователям, включая ThreatLabz, получить доступ к конфиденциальным данным, таким как логины и IP-адреса злоумышленников, внутренние адреса серверов управления, статистика заражений, криптографические ключи и даже украденные данные жертв.

Анализ утечек показал, что в памяти сервера оставались фрагменты HTML-кода веб-интерфейса, SQL-запросы к базе данных, отладочная информация и даже записи из changelog обновлений трояна. Уязвимость действовала почти три года - с июня 2022 по начало 2025 года.

Этот инцидент в очередной раз демонстрирует, что даже профессиональные киберпреступники допускают ошибки, которые могут привести к разоблачению. Утечка данных через DanaBleed не только раскрыла внутреннюю кухню группировки, но и помогла правоохранительным органам в её ликвидации.

SHA256

• 3ce09a0cc03dcf3016c21979b10bc3bfc61a7ba3f582e2838a78f0ccd3556555
• ae5eaeb93764bf4ac7abafeb7082a14682c10a15d825d3b76128f63e0aa6ceb9