برنامج DslogdRAT الخبيث
في نهاية عام ٢٠٢٤، اكتشف خبراء الأمن السيبراني برنامجًا جديدًا لحصان طروادة الوصول عن بُعد (RAT) يُدعى DslogdRAT، مُثبّتًا على أجهزة Ivanti Connect Secure (ICS) المُخترقة. استغلّ المُهدّدون ثغرة أمنية حرجة، عُرفت بالرقم CVE-2025-0282، سمحت بتنفيذ برمجية برمجية عن بُعد دون مصادقة. عالجت Ivanti هذه الثغرة في بداية يناير ٢٠٢٥، ولكن ليس قبل أن يتم اختيار المؤسسات في اليابان.
جدول المحتويات
فتح الباب: الوصول الأولي عبر Web Shell
تضمنت الخطوة الأولى للمهاجمين نشر واجهة ويب خفيفة الوزن، مبنية على لغة برمجة بيرل، مُتنكرة في صورة نص برمجي CGI. تم التحقق من هذا المنفذ الخلفي بحثًا عن قيمة ملف تعريف ارتباط محددة، DSAUTOKEN=af95380019083db5، قبل تنفيذ الأوامر. ومن خلال هذا الوصول، تمكن المهاجمون من إطلاق المزيد من البرامج الضارة، وخاصةً DslogdRAT.
تحت الرادار: تدفق الهجوم متعدد المراحل لـ DslogdRAT
يعمل DslogdRAT من خلال عملية ذكية متعددة المراحل للتهرب من الاكتشاف:
المرحلة 1: تقوم العملية الأساسية بإنشاء عملية فرعية مسؤولة عن فك تشفير بيانات التكوين وتشغيل عملية أساسية ثانية.
المرحلة 2: تظل عملية الوالدين المستمرة نشطة، وتتضمن فترات نوم لتقليل مخاطر الاكتشاف.
المرحلة 3: تبدأ عملية الطفل الثانية وظائف RAT الأساسية، بما في ذلك الاتصال بالنظام وتنفيذ الأوامر.
تضمن هذه الهندسة المعمارية المرونة والقدرة على التخفي، مما يجعل من الصعب على المدافعين اكتشاف البرامج الضارة والقضاء عليها.
المحادثات السرية: تقنيات الاتصال المخصصة
يتم التواصل مع خادم القيادة والتحكم (C2) عبر مقابس، باستخدام نظام ترميز مخصص قائم على XOR. تتضمن الرسائل المشفرة بصمات النظام المهمة، وتلتزم بتنسيق اتصال صارم.
يدعم DslogdRAT العديد من الوظائف الرئيسية:
- تحميل وتنزيل الملفات
- تنفيذ أوامر Shell
- إعداد الوكيل لتوجيه حركة المرور الضارة
وتسمح هذه القدرات للمهاجمين بالحفاظ على سيطرة قوية على الأنظمة المصابة والتنقل بشكل أعمق في الشبكات.
ساعات العمل فقط: تكتيكات ذكية لتجنب الاكتشاف
من الميزات غير العادية لبرنامج DslogdRAT جدوله التشغيلي المدمج: فهو يعمل فقط بين الساعة 8:00 صباحًا و8:00 مساءً. وخارج هذه الساعات، يبقى البرنامج خاملًا، محاكيًا أنماط نشاط المستخدم الاعتيادية، ومُقللًا من خطر اكتشافه خارج أوقات العمل.
أكثر من تهديد: اكتشاف SPAWNSNARE
إلى جانب DslogdRAT، عُثر على برمجية خبيثة أخرى تُسمى SPAWNSNARE على الأنظمة المُصابة. وبينما لا يزال من غير الواضح ما إذا كانت هذه البرمجيات الخبيثة جزءًا من الحملة نفسها أو مرتبطة مباشرةً بمجموعة UNC5221، فإن وجودها المتزامن يُشير إلى أنشطة مُنسقة من قِبل جهات تهديد مُتطورة.
تهديد متزايد: ثغرات جديدة في عام 2025
في أبريل 2025، كشف باحثون أمنيون عن ثغرة أمنية أخرى، وهي CVE-2025-22457، استُخدمت أيضًا لنشر برمجيات خبيثة. ونُسبت هذه الحملة الجديدة إلى UNC5221، التي يُعتقد أنها مجموعة قرصنة صينية. ومع ذلك، لا يزال الخبراء يحققون فيما إذا كان هذا النشاط مرتبطًا بالهجمات السابقة التي استهدفت عائلة برمجيات SPAWN الخبيثة.
