DslogdRAT pahavara
2024. aasta lõpus avastasid küberturvalisuse eksperdid uue kaugjuurdepääsu troojalase (RAT) nimega DslogdRAT, mis oli installitud ohustatud Ivanti Connect Secure'i (ICS) seadmetesse. Ohutegurid kasutasid ära kriitilist nullpäeva haavatavust, mis tuvastati kui CVE-2025-0282 ja mis võimaldas autentimata koodi kaugkäivitamist. Ivanti tegeles selle haavatavusega 2025. aasta jaanuari alguses, kuid mitte enne, kui Jaapani organisatsioonid olid juba välja valitud.
Sisukord
Ukse avamine: esialgne juurdepääs veebikesta kaudu
Ründajate esimene käik hõlmas kerge Perli-põhise veebikesta kasutamist, mis oli maskeeritud CGI-skriptiks. Enne käskude käivitamist kontrolliti seda tagaust konkreetse küpsise väärtuse DSAUTOKEN=af95380019083db5 suhtes. Selle juurdepääsu kaudu said ründajad käivitada edasist pahavara, eelkõige DslogdRATi.
Radari all: DslogdRATi mitmeastmeline rünnakuvoog
DslogdRAT toimib nutika mitmeastmelise protsessi abil, et avastamist vältida:
1. etapp: Põhiprotsess loob tütarprotsessi, mis vastutab konfiguratsiooniandmete dekodeerimise ja teise põhiprotsessi käivitamise eest.
2. etapp: Püsiv vanemprotsess jääb aktiivseks, lisades uneintervalle avastamisriski minimeerimiseks.
3. etapp: Teine lapseprotsess käivitab RAT-i põhifunktsioonid, sealhulgas süsteemikommunikatsiooni ja käskude täitmise.
See arhitektuur tagab vastupidavuse ja varjatuse, mistõttu on kaitsjatel keeruline pahavara avastada ja hävitada.
Salajased vestlused: kohandatud suhtlustehnikad
Suhtlus Command-and-Control (C2) serveriga toimub soklite kaudu, kasutades kohandatud XOR-põhist kodeerimisskeemi. Kodeeritud sõnumid sisaldavad kriitilisi süsteemi sõrmejälgi ja järgivad ranget suhtlusvormingut.
DslogdRAT toetab mitmeid põhifunktsioone:
- Failide üles- ja allalaadimine
- Shelli käsu täitmine
- Pahatahtliku liikluse suunamiseks puhverserveri seadistamine
Need võimalused võimaldavad ründajatel säilitada kindla kontrolli nakatunud süsteemide üle ja liikuda sügavamale võrkudesse.
Ainult tööajal: nutikad taktikad avastamise vältimiseks
DslogdRATi ebatavaline omadus on selle sisseehitatud töögraafik: see töötab ainult kella 8.00 ja 20.00 vahel. Väljaspool neid tunde jääb see uinunud olekusse, jäljendades tavapäraseid kasutajaaktiivsuse mustreid ja minimeerides avastamise ohtu väljaspool tööaega.
Rohkem kui üks oht: SPAWNSNARE’i avastamine
Lisaks DslogdRATile leiti nakatunud süsteemidest veel üks pahavara nimega SPAWNSNARE. Kuigi jääb selgusetuks, kas need pahavarad on osa samast kampaaniast või on otseselt seotud grupiga UNC5221, viitab nende samaaegne olemasolu keerukate ohuüksuste koordineeritud tegevusele.
Kasvav oht: uued ärakasutamised 2025. aastal
2025. aasta aprillis avalikustasid turvaeksperdid, et pahavara levitamiseks oli relvaks muudetud veel üks haavatavus, CVE-2025-22457. See uuem kampaania on omistatud UNC5221-le, mida peetakse Hiina häkkerirühmituseks. Eksperdid uurivad aga endiselt, kas see tegevus on seotud varasemate SPAWN-i pahavaraperekonna rünnakutega.
