Κακόβουλο λογισμικό DslogdRAT
Στα τέλη του 2024, ειδικοί στον κυβερνοχώρο αποκάλυψαν ένα νέο Remote AccessTrojan (RAT) με την ονομασία DslogdRAT, εγκατεστημένο σε παραβιασμένες συσκευές Ivanti Connect Secure (ICS). Οι απειλητικοί παράγοντες εκμεταλλεύτηκαν μια κρίσιμη ευπάθεια zero-day, που εντοπίστηκε ως CVE-2025-0282, η οποία επέτρεπε την εκτέλεση απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας. Η Ivanti αντιμετώπισε αυτήν την ευπάθεια στις αρχές Ιανουαρίου 2025, αλλά όχι πριν καν επιλεγούν οργανισμοί στην Ιαπωνία.
Πίνακας περιεχομένων
Άνοιγμα της Πόρτας: Αρχική Πρόσβαση μέσω του Web Shell
Η πρώτη κίνηση των εισβολέων περιελάμβανε την ανάπτυξη ενός ελαφρού, βασισμένου σε Perl web shell, μεταμφιεσμένου σε CGI script. Αυτό το backdoor ελέγχθηκε για μια συγκεκριμένη τιμή cookie, DSAUTOKEN=af95380019083db5, πριν από την εκτέλεση εντολών. Μέσω αυτής της πρόσβασης, οι εισβολείς μπόρεσαν να εκτοξεύσουν περαιτέρω κακόβουλο λογισμικό, κυρίως το DslogdRAT.
Κάτω από το ραντάρ: Η ροή επίθεσης πολλαπλών σταδίων του DslogdRAT
Το DslogdRAT λειτουργεί μέσω μιας έξυπνης, πολυβάθμιας διαδικασίας για να αποφύγει την ανίχνευση:
Στάδιο 1: Η κύρια διεργασία δημιουργεί μια θυγατρική διεργασία υπεύθυνη για την αποκωδικοποίηση δεδομένων διαμόρφωσης και την εκκίνηση μιας δεύτερης βασικής διεργασίας.
Στάδιο 2: Μια μόνιμη γονική διεργασία παραμένει ενεργή, ενσωματώνοντας διαστήματα ύπνου για την ελαχιστοποίηση του κινδύνου ανίχνευσης.
Στάδιο 3: Η δεύτερη θυγατρική διεργασία ξεκινά τις βασικές λειτουργίες RAT, συμπεριλαμβανομένης της επικοινωνίας συστήματος και της εκτέλεσης εντολών.
Αυτή η αρχιτεκτονική εγγυάται ανθεκτικότητα και μυστικότητα, καθιστώντας δύσκολο για τους υπερασπιστές να αποκαλύψουν και να τερματίσουν το κακόβουλο λογισμικό.
Μυστικές Συνομιλίες: Τεχνικές Εξατομικευμένης Επικοινωνίας
Η επικοινωνία με τον διακομιστή Command-and-Control (C2) πραγματοποιείται μέσω υποδοχών (sockets), χρησιμοποιώντας ένα προσαρμοσμένο σχήμα κωδικοποίησης που βασίζεται σε XOR. Τα κωδικοποιημένα μηνύματα περιλαμβάνουν κρίσιμα δακτυλικά αποτυπώματα συστήματος και τηρούν μια αυστηρή μορφή επικοινωνίας.
Το DslogdRAT υποστηρίζει αρκετές βασικές λειτουργίες:
- Μεταφόρτωση και λήψη αρχείου
- Εκτέλεση εντολής Shell
- Ρύθμιση διακομιστή μεσολάβησης για τη δρομολόγηση κακόβουλης κίνησης
Αυτές οι δυνατότητες επιτρέπουν στους εισβολείς να διατηρούν σταθερό έλεγχο στα μολυσμένα συστήματα και να στραφούν βαθύτερα στα δίκτυα.
Μόνο για Ώρες Λειτουργίας: Έξυπνες Τακτικές για την Αποφυγή Ανίχνευσης
Ένα ασυνήθιστο χαρακτηριστικό του DslogdRAT είναι το ενσωματωμένο πρόγραμμα λειτουργίας του: εκτελείται μόνο μεταξύ 8:00 π.μ. και 8:00 μ.μ. Εκτός αυτών των ωρών, παραμένει αδρανές, μιμούμενο τα τυπικά μοτίβα δραστηριότητας των χρηστών και ελαχιστοποιώντας τον κίνδυνο ανίχνευσης κατά τις ώρες εκτός λειτουργίας.
Περισσότερες από μία απειλές: Ανακάλυψη του SPAWNSNARE
Παράλληλα με το DslogdRAT, ένα άλλο κακόβουλο λογισμικό με το όνομα SPAWNSNARE βρέθηκε σε επηρεαζόμενα συστήματα. Ενώ παραμένει ασαφές εάν αυτά τα κακόβουλα προγράμματα αποτελούν μέρος της ίδιας καμπάνιας ή συνδέονται άμεσα με την ομάδα UNC5221, η ταυτόχρονη παρουσία τους υποδηλώνει συντονισμένες δραστηριότητες από εξελιγμένους απειλητικούς παράγοντες.
Μια αυξανόμενη απειλή: Νέες εκμεταλλεύσεις το 2025
Τον Απρίλιο του 2025, ερευνητές ασφαλείας αποκάλυψαν ότι μια άλλη ευπάθεια, το CVE-2025-22457, είχε επίσης χρησιμοποιηθεί ως όπλο για την ανάπτυξη κακόβουλου λογισμικού. Αυτή η νεότερη εκστρατεία έχει αποδοθεί στο UNC5221, το οποίο πιστεύεται ότι είναι μια κινεζική ομάδα χάκερ. Ωστόσο, οι ειδικοί εξακολουθούν να διερευνούν εάν αυτή η δραστηριότητα συνδέεται με προηγούμενες επιθέσεις που αφορούσαν την οικογένεια κακόβουλου λογισμικού SPAWN.
