Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware DslogdRAT

Malware DslogdRAT

V roce Mezo v roce Malware
Přeložit do:
Čeština

Na konci roku 2024 odhalili experti na kybernetickou bezpečnost nového trojanského koně pro vzdálený přístup (RAT) s názvem DslogdRAT, který byl nainstalován na kompromitovaných zařízeních Ivanti Connect Secure (ICS). Útočníci zneužili kritickou zranitelnost typu zero-day, sledovanou jako CVE-2025-0282, která umožňovala neověřené vzdálené spuštění kódu. Ivanti tuto zranitelnost vyřešila na začátku ledna 2025, ale až poté, co již byly vybrány organizace v Japonsku.

Otevření dveří: První přístup přes Web Shell

Prvním krokem útočníků bylo nasazení lehkého webového shellu založeného na Perlu, maskovaného jako CGI skript. Tento backdoor byl před spuštěním příkazů ověřován na přítomnost specifické hodnoty souboru cookie, DSAUTOKEN=af95380019083db5. Prostřednictvím tohoto přístupu byli útočníci schopni spustit další malware, zejména DslogdRAT.

Pod radarem: Vícestupňový útok DslogdRAT

DslogdRAT funguje na základě chytrého, vícestupňového procesu, aby se vyhnul detekci:

Fáze 1: Primární proces spustí podřízený proces, který je zodpovědný za dekódování konfiguračních dat a spuštění druhého jádrového procesu.

Fáze 2: Trvalý rodičovský proces zůstává aktivní a zahrnuje intervaly spánku, aby se minimalizovalo riziko detekce.

Fáze 3: Druhý podřízený proces inicializuje základní funkce RAT, včetně systémové komunikace a provádění příkazů.

Tato architektura zaručuje odolnost a nenápadnost, což obráncům ztěžuje odhalení a ukončení malwaru.

Tajné rozhovory: Techniky komunikace na míru

Komunikace se serverem Command-and-Control (C2) probíhá prostřednictvím socketů s využitím vlastního kódovacího schématu založeného na operaci XOR. Zakódované zprávy obsahují kritické systémové otisky prstů a dodržují striktní komunikační formát.

DslogdRAT podporuje několik klíčových funkcí:

  • Nahrávání a stahování souborů
  • Provedení příkazu shellu
  • Nastavení proxy serveru pro směrování škodlivého provozu

Díky těmto schopnostem si útočníci mohou udržet pevnou kontrolu nad infikovanými systémy a pronikat hlouběji do sítí.

Pouze v pracovní době: Chytré taktiky, jak se vyhnout odhalení

Neobvyklou vlastností DslogdRAT je jeho vestavěný provozní plán: běží pouze mezi 8:00 a 20:00. Mimo tuto dobu zůstává nečinný, napodobuje standardní vzorce aktivity uživatelů a minimalizuje riziko odhalení mimo pracovní dobu.

Více než jedna hrozba: Objev SPAWNSNARE

Kromě DslogdRAT byl na postižených systémech nalezen další malware s názvem SPAWNSNARE. I když není jasné, zda jsou tyto malwary součástí stejné kampaně, nebo zda jsou přímo spojeny se skupinou UNC5221, jejich současná přítomnost naznačuje koordinované aktivity sofistikovaných aktérů hrozeb.

Rostoucí hrozba: Nové exploity v roce 2025

V dubnu 2025 bezpečnostní výzkumníci odhalili, že k nasazení malwaru byla použita i další zranitelnost CVE-2025-22457. Tato novější kampaň byla připsána skupině UNC5221, o které se předpokládá, že patří čínské hackerské skupině. Odborníci však stále vyšetřují, zda tato aktivita souvisí s dřívějšími útoky zahrnujícími malware z rodiny SPAWN.

 

 

 

Trendy

Vaše cloudové úložiště je úplný e-mailový podvod

Phishing, Spam
Internet je nezbytnou součástí moderního života, ale je také živnou půdou pro taktiku. Kyberzločinci neustále vyvíjejí nové taktiky, jak klamat uživatele, takže je velmi důležité zůstat ve střehu. Jedním z takových podvodných schémat je e-mailový podvod „Vaše cloudové úložiště je plné“. Tato podvodná kampaň manipuluje uživatele, aby věřili, že jejich cloudové úložiště je ohroženo, a nutí je,...

Nejvíce shlédnuto

Načítání...