آسیب‌پذیری در بدافزار DanaBot که در به‌روزرسانی ژوئن ۲۰۲۲ معرفی شد، منجر به شناسایی، کیفرخواست و متلاشی شدن عملیات این گروه در اقدام اخیر نیروهای انتظامی شد. DanaBot یک پلتفرم بدافزار به عنوان سرویس (MaaS) است که از سال ۲۰۱۸ تا ۲۰۲۵ فعال بوده و برای کلاهبرداری بانکی، سرقت اطلاعات کاربری، دسترسی از راه دور و حملات انکار سرویس توزیع شده (DDoS) استفاده می‌شد.

محققان ThreatLabz شرکت Zscaler که این آسیب‌پذیری را کشف کردند، آن را “DanaBleed” نامیدند. آنها توضیح می‌دهند که یک نشت حافظه به آنها امکان داد تا نگاه عمیقی به عملیات داخلی این بدافزار و افراد پشت آن داشته باشند. استفاده از این نقص برای جمع‌آوری اطلاعات ارزشمند درباره مجرمان سایبری، عملیات بین‌المللی نیروهای انتظامی به نام “عملیات پایان بازی” را ممکن ساخت که زیرساخت DanaBot را آفلاین کرد و ۱۶ عضو گروه تهدید را تحت کیفرخواست قرار داد.

نقص DanaBleed در ژوئن ۲۰۲۲ با نسخه ۲۳۸۰ DanaBot معرفی شد که پروتکل جدید فرماندهی و کنترل (C2) را اضافه کرد. ضعف در منطق پروتکل جدید در مکانیزمی بود که پاسخ‌های سرور C2 به کلاینت‌ها را تولید می‌کرد. این مکانیزم قرار بود شامل بایت‌های پدینگ تصادفی باشد اما حافظه تازه تخصیص یافته برای اینها را مقداردهی اولیه نمی‌کرد.

محققان Zscaler تعداد زیادی از پاسخ‌های C2 را جمع‌آوری و تحلیل کردند که به دلیل باگ نشت حافظه، حاوی قطعات داده باقی‌مانده از حافظه سرور بودند. این افشاگری مشابه مشکل HeartBleed است که در سال ۲۰۱۴ کشف شد و نرم‌افزار OpenSSL را تحت تأثیر قرار داد.

در نتیجه DanaBleed، طیف گسترده‌ای از داده‌های خصوصی در طول زمان در معرض دید محققان قرار گرفت، از جمله:

• جزئیات بازیگران تهدید (نام‌های کاربری، آدرس‌های IP)
• زیرساخت پشتیبان (IP/دامنه‌های سرور C2)
• داده‌های قربانیان (آدرس‌های IP، اطلاعات کاربری، اطلاعات استخراج شده)
• گزارش‌های تغییرات بدافزار
• کلیدهای رمزنگاری خصوصی
• کوئری‌های SQL و گزارش‌های اشکال‌زدایی
• قطعات HTML و رابط وب از داشبورد C2

برای بیش از سه سال، DanaBot در حالت به خطر افتاده عمل می‌کرد بدون اینکه توسعه‌دهندگان یا مشتریان آن متوجه شوند که در معرض دید محققان امنیتی قرار دارند. این امر اقدام هدفمند نیروهای انتظامی را زمانی که داده‌های کافی جمع‌آوری شده بود، ممکن ساخت.

اگرچه تیم اصلی DanaBot در روسیه صرفاً تحت کیفرخواست قرار گرفتند و دستگیر نشدند، توقیف سرورهای C2 حیاتی، ۶۵۰ دامنه و نزدیک به ۴ میلیون دلار ارز دیجیتال، عملاً این تهدید را در حال حاضر خنثی کرده است. بعید نیست که بازیگران تهدید در آینده تلاش کنند به عملیات جرایم سایبری بازگردند، اما کاهش اعتماد از سوی جامعه هکرها مانع قابل توجهی برای آنها خواهد بود.