DslogdRAT-malware
I slutningen af 2024 afslørede cybersikkerhedseksperter en ny Remote AccesTrojan (RAT) kaldet DslogdRAT, installeret på kompromitterede Ivanti Connect Secure (ICS)-enheder. Trusselaktører udnyttede en kritisk zero-day-sårbarhed, sporet som CVE-2025-0282, som tillod uautoriseret fjernudførelse af kode. Ivanti håndterede denne sårbarhed i begyndelsen af januar 2025, men ikke før organisationer i Japan allerede var blevet udvalgt.
Indholdsfortegnelse
Sprækker døren: Første adgang via Web Shell
Angribernes første træk involverede implementering af en let, Perl-baseret webshell forklædt som et CGI-script. Denne bagdør blev kontrolleret for en specifik cookieværdi, DSAUTOKEN=af95380019083db5, før kommandoer blev udført. Gennem denne adgang var angriberne i stand til at lancere yderligere malware, især DslogdRAT.
Under radaren: DslogdRATs flertrins angrebsflow
DslogdRAT fungerer gennem en smart proces i flere trin for at undgå at blive opdaget:
Trin 1: Den primære proces genererer en underproces, der er ansvarlig for at afkode konfigurationsdata og starte en anden kerneproces.
Fase 2: En vedvarende forældreproces forbliver aktiv og inkorporerer søvnintervaller for at minimere detektionsrisikoen.
Trin 3: Den anden underproces initierer kerne-RAT-funktionaliteter, herunder systemkommunikation og kommandoudførelse.
Denne arkitektur garanterer robusthed og skjulthed, hvilket gør det udfordrende for forsvarere at afdække og afslutte malwaren.
Hemmelige samtaler: Brugerdefinerede kommunikationsteknikker
Kommunikation med Command-and-Control (C2)-serveren sker via sockets ved hjælp af et brugerdefineret XOR-baseret kodningsskema. De kodede meddelelser indeholder kritiske systemfingeraftryk og overholder et strengt kommunikationsformat.
DslogdRAT understøtter flere nøglefunktioner:
- Filupload og -download
- Udførelse af Shell-kommando
- Proxyopsætning til at dirigere ondsindet trafik
Disse funktioner giver angribere mulighed for at opretholde fast kontrol over inficerede systemer og trænge dybere ind i netværk.
Kun åbningstider: Smarte taktikker for at undgå opdagelse
En usædvanlig funktion ved DslogdRAT er dens indbyggede driftsplan: den kører kun mellem kl. 8.00 og 20.00. Uden for disse timer forbliver den inaktiv, efterligner standard brugeraktivitetsmønstre og minimerer risikoen for opdagelse uden for åbningstiden.
Mere end én trussel: Opdagelsen af SPAWNSNARE
Udover DslogdRAT blev en anden malware ved navn SPAWNSNARE fundet på de berørte systemer. Selvom det stadig er uklart, om denne malware er en del af den samme kampagne eller direkte knyttet til gruppen UNC5221, antyder deres samtidige tilstedeværelse koordinerede aktiviteter fra sofistikerede trusselsaktører.
En voksende trussel: Nye bedrifter i 2025
I april 2025 afslørede sikkerhedsforskere, at en anden sårbarhed, CVE-2025-22457, også var blevet udnyttet som et våben til at udrulle malware. Denne nyere kampagne er blevet tilskrevet UNC5221, som menes at være en kinesisk hackergruppe. Eksperter undersøger dog stadig, om denne aktivitet er forbundet med de tidligere angreb, der involverede SPAWN-malwarefamilien.
