DslogdRAT-haittaohjelma
Vuoden 2024 lopussa kyberturvallisuusasiantuntijat paljastivat uuden Remote AccesTrojan (RAT) -haavoittuvuuden nimeltä DslogdRAT, joka oli asennettu vaarantuneille Ivanti Connect Secure (ICS) -laitteille. Uhkatoimijat hyödynsivät kriittistä nollapäivähaavoittuvuutta, jonka tunnisteena oli CVE-2025-0282 ja joka mahdollisti todentamattoman koodin suorittamisen etänä. Ivanti puuttui tähän haavoittuvuuteen tammikuun 2025 alussa, mutta vasta sen jälkeen, kun japanilaiset organisaatiot oli jo valittu.
Sisällysluettelo
Oven avaaminen: Ensimmäinen käyttöoikeus Web Shellin kautta
Hyökkääjien ensimmäinen siirto oli kevyen, Perl-pohjaisen, CGI-skriptiksi naamioidun verkkokuoren käyttöönotto. Tätä takaporttia tarkistettiin tietyn evästearvon, DSAUTOKEN=af95380019083db5, varalta ennen komentojen suorittamista. Tämän pääsyn avulla hyökkääjät pystyivät käynnistämään lisää haittaohjelmia, erityisesti DslogdRATin.
Tutkan alla: DslogdRATin monivaiheinen hyökkäysprosessi
DslogdRAT toimii älykkään, monivaiheisen prosessin avulla välttääkseen havaitsemisen:
Vaihe 1: Ensisijainen prosessi luo lapsiprosessin, joka vastaa määritystietojen dekoodaamisesta ja toisen ydinprosessin käynnistämisestä.
Vaihe 2: Pysyvä pääprosessi pysyy aktiivisena ja sisältää univälejä havaitsemisriskin minimoimiseksi.
Vaihe 3: Toinen lapsiprosessi käynnistää RAT:n ydintoiminnot, mukaan lukien järjestelmän kommunikaation ja komentojen suorittamisen.
Tämä arkkitehtuuri takaa sietokyvyn ja huomaamattomuuden, mikä tekee puolustajille haastavaa paljastaa ja poistaa haittaohjelmia.
Salaiset keskustelut: räätälöidyt viestintätekniikat
Viestintä komento- ja ohjauspalvelimen (C2) kanssa tapahtuu sokettien kautta käyttäen mukautettua XOR-pohjaista koodausjärjestelmää. Koodatut viestit sisältävät kriittiset järjestelmäsormenjäljet ja noudattavat tarkkaa viestintämuotoa.
DslogdRAT tukee useita keskeisiä toimintoja:
- Tiedoston lataaminen ja lähettäminen
- Shell-komennon suorittaminen
- Välityspalvelimen asetukset haitallisen liikenteen reitittämiseksi
Näiden ominaisuuksien avulla hyökkääjät voivat säilyttää vankan hallinnan tartunnan saaneista järjestelmistä ja siirtyä syvemmälle verkkoihin.
Vain aukioloaikoina: Älykkäitä taktiikoita paljastumisen välttämiseksi
DslogdRATin epätavallinen ominaisuus on sen sisäänrakennettu toiminta-aikataulu: se toimii vain klo 8.00–20.00. Näiden aikojen ulkopuolella se pysyy lepotilassa, matkien käyttäjän normaaleja toimintamalleja ja minimoiden havaitsemisriskin muina aikoina.
Useampi kuin yksi uhka: SPAWNSNARE:n löytäminen
DslogdRATin ohella tartunnan saaneista järjestelmistä löydettiin toinen haittaohjelma nimeltä SPAWNSNARE. Vaikka on epäselvää, ovatko nämä haittaohjelmat osa samaa kampanjaa vai suoraan yhteydessä UNC5221-ryhmään, niiden samanaikainen läsnäolo viittaa kehittyneiden uhkatoimijoiden koordinoituun toimintaan.
Kasvava uhka: Uudet hyökkäykset vuonna 2025
Huhtikuussa 2025 tietoturvatutkijat paljastivat, että toinen haavoittuvuus, CVE-2025-22457, oli myös aseistettu haittaohjelmien levittämiseen. Tämä uudempi kampanja on liitetty UNC5221:een, jonka uskotaan olevan kiinalainen hakkeriryhmä. Asiantuntijat kuitenkin tutkivat edelleen, onko tällä toiminnalla yhteyttä aiempiin SPAWN-haittaohjelmaperheeseen liittyviin hyökkäyksiin.
