DanaBleed
A Zscaler ThreatLabz kutatói azonosították a DanaBleed nevű, a DanaBot C2 szerverében rejlő memóriaszivárgási sebezhetőséget, amely 2022 júniusa és 2025 eleje között aktív volt. Ez a hiba – a Delphi alapú szerver új C2 protokollfrissítésének mellékhatása – lehetővé tette, hogy a válaszokban akár 1792 byte memóriatartalom kerülhessen vissza a fertőzött klienshez. Ez olyan érzékeny adatokat is tartalmazott, mint támadó felhasználónevek, IP-címek, háttér-infrastruktúra címei, SQL-parancsok, privát kriptográfiai kulcsok és kompromittált áldozatok adatai.
Ez a memóriaszivárgás hasonló a 2014-es Heartbleedhez, kimondottan súlyos, mivel betekintést engedett a DanaBot belső működésébe, beleértve a támadók operációs struktúráját és az ellopott információkat. A hiba segíthetett a rendőrségi műveleteknek is, így a 2025 májusában az Operation Endgame keretében lebontották a DanaBot hálózatot, és 16 gyanúsítottat emeltek vád alá.
A C2 szerverek – amelyek általában kevésbé vannak célban – valójában kulcsfontosságú pontjai a fenyegetési láncnak, és hibáik révén komoly információszivárgás történhet. Az infrastruktúra auditálásakor nemcsak a végpontok, hanem a támadókhoz kapcsolódó háttérrendszerek viselkedési mintázataiban is keresnie kell a sebezhetőségeket. Emellett a memória-kezelési hibák – például megfelelő inicializálási hiányosság esetén – súlyos protokollhibákat eredményezhetnek.
