Programari maliciós DslogdRAT
A finals del 2024, experts en ciberseguretat van descobrir un nou troià d'accés remot (RAT) anomenat DslogdRAT, instal·lat en dispositius Ivanti Connect Secure (ICS) compromesos. Els actors amenaçadors van explotar una vulnerabilitat crítica de dia zero, registrada com a CVE-2025-0282, que permetia l'execució remota de codi no autenticada. Ivanti va abordar aquesta vulnerabilitat a principis de gener del 2025, però no abans que les organitzacions del Japó ja haguessin estat seleccionades.
Taula de continguts
Obrint la porta: accés inicial a través de Web Shell
El primer moviment dels atacants va ser desplegar una shell web lleugera basada en Perl disfressada de script CGI. Aquesta porta del darrere es va comprovar per detectar un valor de galeta específic, DSAUTOKEN=af95380019083db5, abans d'executar ordres. A través d'aquest accés, els atacants van poder llançar més programari maliciós, en particular DslogdRAT.
Sota el radar: flux d’atac multietapa de DslogdRAT
DslogdRAT opera mitjançant un procés intel·ligent de diverses etapes per evadir la detecció:
Etapa 1: El procés principal genera un procés fill responsable de descodificar les dades de configuració i iniciar un segon procés central.
Etapa 2: Un procés parental persistent roman actiu, incorporant intervals de son per minimitzar el risc de detecció.
Etapa 3: El segon procés fill inicia les funcionalitats bàsiques del RAT, incloent-hi la comunicació del sistema i l'execució d'ordres.
Aquesta arquitectura garanteix resiliència i sigil, cosa que dificulta que els defensors descobreixin i eliminin el programari maliciós.
Converses secretes: tècniques de comunicació personalitzades
La comunicació amb el servidor de comandament i control (C2) es produeix a través de sòcols, utilitzant un esquema de codificació personalitzat basat en XOR. Els missatges codificats inclouen empremtes digitals crítiques del sistema i s'adhereixen a un format de comunicació estricte.
DslogdRAT admet diverses funcionalitats clau:
- Pujada i descàrrega de fitxers
- Execució d'ordres de shell
- Configuració del proxy per encaminar el trànsit maliciós
Aquestes capacitats permeten als atacants mantenir un control ferm sobre els sistemes infectats i accedir més profundament a les xarxes.
Només en horari comercial: tàctiques intel·ligents per evitar ser detectats
Una característica inusual de DslogdRAT és el seu horari operatiu integrat: només funciona entre les 8:00 i les 20:00. Fora d'aquest horari, roman inactiu, imitant els patrons d'activitat estàndard dels usuaris i minimitzant el risc de detecció fora d'aquest horari.
Més d’una amenaça: descobriment de SPAWNSNARE
Juntament amb DslogdRAT, es va trobar un altre programari maliciós anomenat SPAWNSNARE als sistemes afectats. Tot i que no està clar si aquests programaris maliciosos formen part de la mateixa campanya o estan directament relacionats amb el grup UNC5221, la seva presència simultània suggereix activitats coordinades per part d'actors d'amenaces sofisticats.
Una amenaça creixent: noves gestes el 2025
L'abril de 2025, investigadors de seguretat van revelar que una altra vulnerabilitat, CVE-2025-22457, també s'havia utilitzat com a arma per implementar programari maliciós. Aquesta nova campanya s'ha atribuït a UNC5221, que es creu que és un grup de pirates informàtics xinès. Tanmateix, els experts encara investiguen si aquesta activitat està relacionada amb els atacs anteriors que van involucrar la família de programari maliciós SPAWN.
