Зловреден софтуер DslogdRAT
В края на 2024 г. експерти по киберсигурност откриха нов троянски кон за отдалечен достъп (RAT), наречен DslogdRAT, инсталиран на компрометирани устройства на Ivanti Connect Secure (ICS). Злоумишлениците използваха критична уязвимост от типа „нулев ден“, проследена като CVE-2025-0282, която позволяваше неавторизирано дистанционно изпълнение на код. Ivanti се справи с тази уязвимост в началото на януари 2025 г., но не преди организации в Япония вече да бяха избрани.
Съдържание
Отваряне на вратата: Първоначален достъп чрез Web Shell
Първият ход на нападателите включваше внедряване на лека, базирана на Perl уеб обвивка, маскирана като CGI скрипт. Тази задна вратичка беше проверена за специфична стойност на бисквитката, DSAUTOKEN=af95380019083db5, преди да изпълни команди. Чрез този достъп нападателите успяха да стартират допълнителен зловреден софтуер, по-специално DslogdRAT.
Под радара: Многоетапният поток на атака на DslogdRAT
DslogdRAT работи чрез интелигентен, многоетапен процес, за да избегне откриването:
Етап 1: Основният процес създава дъщерен процес, отговорен за декодирането на конфигурационни данни и стартирането на втори основен процес.
Етап 2: Постоянен родителски процес остава активен, включващ интервали на сън, за да се сведе до минимум рискът от откриване.
Етап 3: Вторият дъщерен процес инициира основните RAT функционалности, включително системна комуникация и изпълнение на команди.
Тази архитектура гарантира устойчивост и скритост, което затруднява защитниците да разкрият и премахнат зловредния софтуер.
Тайни разговори: Персонализирани техники за комуникация
Комуникацията със сървъра за командване и контрол (C2) се осъществява чрез сокети, използвайки персонализирана схема за кодиране, базирана на XOR. Кодираните съобщения включват критични системни пръстови отпечатъци и се придържат към строг комуникационен формат.
DslogdRAT поддържа няколко ключови функционалности:
- Качване и изтегляне на файлове
- Изпълнение на команда от Shell
- Настройка на прокси сървър за маршрутизиране на злонамерен трафик
Тези възможности позволяват на нападателите да поддържат твърд контрол над заразените системи и да проникнат по-дълбоко в мрежите.
Само в работно време: Умни тактики за избягване на разкриване
Необичайна характеристика на DslogdRAT е вграденият му работен график: той работи само между 8:00 ч. и 20:00 ч. Извън тези часове той остава неактивен, имитирайки стандартни модели на потребителска активност и минимизирайки риска от откриване извън работно време.
Повече от една заплаха: Откриването на SPAWNSNARE
Наред с DslogdRAT, в засегнатите системи беше открит и друг зловреден софтуер, наречен SPAWNSNARE. Макар че остава неясно дали тези зловредни програми са част от една и съща кампания или са пряко свързани с групата UNC5221, едновременното им присъствие подсказва за координирани дейности от страна на сложни злонамерени лица.
Нарастваща заплаха: Нови експлойти през 2025 г.
През април 2025 г. изследователи по сигурността разкриха, че друга уязвимост, CVE-2025-22457, също е била използвана за внедряване на зловреден софтуер. Тази по-нова кампания се приписва на UNC5221, за която се смята, че е китайска хакерска група. Експертите обаче все още разследват дали тази дейност е свързана с по-ранните атаки, включващи семейството зловреден софтуер SPAWN.
