بدافزار DslogdRAT

در پایان سال ۲۰۲۴، کارشناسان امنیت سایبری یک Remote AccesTrojan (RAT) جدید به نام DslogdRAT را کشف کردند که بر روی دستگاه‌های Ivanti Connect Secure (ICS) آسیب‌پذیر نصب شده بود. عوامل تهدید از یک آسیب‌پذیری حیاتی روز صفر با شناسه CVE-2025-0282 سوءاستفاده کردند که امکان اجرای کد از راه دور بدون احراز هویت را فراهم می‌کرد. Ivanti این آسیب‌پذیری را در ابتدای ژانویه ۲۰۲۵ برطرف کرد، اما قبل از آن سازمان‌هایی در ژاپن انتخاب شده بودند.

شکستن قفل: دسترسی اولیه از طریق وب شل

اولین حرکت مهاجمان شامل استقرار یک پوسته وب سبک مبتنی بر Perl بود که در قالب یک اسکریپت CGI پنهان شده بود. این درِ پشتی قبل از اجرای دستورات، برای یافتن یک مقدار کوکی خاص، DSAUTOKEN=af95380019083db5، بررسی می‌شد. از طریق این دسترسی، مهاجمان توانستند بدافزارهای بیشتری، به ویژه DslogdRAT، را اجرا کنند.

زیر ذره‌بین: جریان حمله چند مرحله‌ای DslogdRAT

DslogdRAT از طریق یک فرآیند هوشمندانه و چند مرحله‌ای برای جلوگیری از شناسایی عمل می‌کند:

مرحله ۱: فرآیند اصلی، یک فرآیند فرزند ایجاد می‌کند که مسئول رمزگشایی داده‌های پیکربندی و راه‌اندازی فرآیند اصلی دوم است.

مرحله ۲: یک فرآیند والد پایدار فعال می‌ماند و فواصل خواب را برای به حداقل رساندن خطر شناسایی در نظر می‌گیرد.

مرحله ۳: فرآیند فرزند دوم، عملکردهای اصلی RAT، از جمله ارتباط سیستمی و اجرای دستورات را آغاز می‌کند.

این معماری، انعطاف‌پذیری و پنهان‌کاری را تضمین می‌کند و کشف و از بین بردن بدافزار را برای مدافعان چالش‌برانگیز می‌سازد.

مکالمات مخفی: تکنیک‌های ارتباطی سفارشی

ارتباط با سرور فرماندهی و کنترل (C2) از طریق سوکت‌ها و با استفاده از یک طرح رمزگذاری سفارشی مبتنی بر XOR انجام می‌شود. پیام‌های رمزگذاری شده شامل اثر انگشت‌های حیاتی سیستم هستند و از یک قالب ارتباطی دقیق پیروی می‌کنند.

DslogdRAT از چندین قابلیت کلیدی پشتیبانی می‌کند:

• آپلود و دانلود فایل
• اجرای دستور شل
• راه‌اندازی پروکسی برای مسیریابی ترافیک مخرب

این قابلیت‌ها به مهاجمان اجازه می‌دهد تا کنترل کاملی بر سیستم‌های آلوده داشته باشند و به عمق شبکه‌ها نفوذ کنند.

فقط ساعات کاری: تاکتیک‌های هوشمندانه برای جلوگیری از شناسایی

یکی از ویژگی‌های غیرمعمول DslogdRAT، برنامه عملیاتی داخلی آن است: این بدافزار فقط بین ساعت ۸ صبح تا ۸ شب اجرا می‌شود. در خارج از این ساعات، غیرفعال می‌ماند و الگوهای فعالیت استاندارد کاربر را تقلید می‌کند و خطر شناسایی در ساعات غیر کاری را به حداقل می‌رساند.

بیش از یک تهدید: کشف SPAWNSNARE

در کنار DslogdRAT، بدافزار دیگری به نام SPAWNSNARE در سیستم‌های آسیب‌دیده یافت شد. اگرچه هنوز مشخص نیست که آیا این بدافزارها بخشی از یک کمپین هستند یا مستقیماً به گروه UNC5221 مرتبط هستند، اما حضور همزمان آنها نشان دهنده فعالیت‌های هماهنگ توسط عوامل تهدید پیشرفته است.

یک تهدید رو به رشد: اکسپلویت‌های جدید در سال ۲۰۲۵

در آوریل ۲۰۲۵، محققان امنیتی فاش کردند که آسیب‌پذیری دیگری به نام CVE-2025-22457 نیز برای استقرار بدافزار مورد استفاده قرار گرفته است. این کمپین جدیدتر به UNC5221 نسبت داده شده است که گمان می‌رود یک گروه هکری چینی باشد. با این حال، کارشناسان هنوز در حال بررسی این موضوع هستند که آیا این فعالیت با حملات قبلی مربوط به خانواده بدافزار SPAWN مرتبط است یا خیر.