הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית DslogdRAT

תוכנה זדונית DslogdRAT

עד Mezo ב-תוכנה זדונית
לתרגם ל:
עברית

בסוף שנת 2024, מומחי אבטחת סייבר חשפו טרויאן חדש לגישה מרחוק (RAT) בשם DslogdRAT, שהותקן על מכשירי Ivanti Connect Secure (ICS) שנפרצו. גורמי איום ניצלו פגיעות קריטית של יום אפס, שסומנה כ-CVE-2025-0282, שאפשרה ביצוע קוד מרחוק לא מאומת. Ivanti טיפלה בפגיעות זו בתחילת ינואר 2025, אך לא לפני שארגונים ביפן כבר נבחרו.

פיצוח הדלת: גישה ראשונית דרך Web Shell

המהלך הראשון של התוקפים כלל פריסת מעטפת אינטרנט קלת משקל, מבוססת Perl, במסווה של סקריפט CGI. דלת אחורית זו נבדקה עבור ערך קובץ Cookie ספציפי, DSAUTOKEN=af95380019083db5, לפני ביצוע פקודות. באמצעות גישה זו, התוקפים הצליחו להפעיל תוכנות זדוניות נוספות, בעיקר DslogdRAT.

מתחת לרדאר: זרימת ההתקפה הרב-שלבית של DslogdRAT

DslogdRAT פועל באמצעות תהליך חכם ורב-שלבי כדי להתחמק מגילוי:

שלב 1: התהליך העיקרי מוליד תהליך-צאצא האחראי על פענוח נתוני תצורה והפעלת תהליך ליבה שני.

שלב 2: תהליך הורה מתמשך נשאר פעיל, ומשלב מרווחי שינה כדי למזער את הסיכון לגילוי.

שלב 3: תהליך הצאצא השני מפעיל פונקציות מרכזיות של RAT, כולל תקשורת מערכת וביצוע פקודות.

ארכיטקטורה זו מבטיחה חוסן וחשאיות, מה שמקשה על המגנים לחשוף ולחסל את התוכנה הזדונית.

שיחות סודיות: טכניקות תקשורת מותאמות אישית

התקשורת עם שרת הפיקוד והבקרה (C2) מתבצעת דרך שקעים, תוך שימוש בסכמת קידוד מותאמת אישית מבוססת XOR. ההודעות המקודדות כוללות טביעות אצבע קריטיות של המערכת ועוקבות אחר פורמט תקשורת קפדני.

DslogdRAT תומך במספר פונקציות מרכזיות:

  • העלאה והורדה של קבצים
  • ביצוע פקודת מעטפת
  • הגדרת פרוקסי לניתוב תעבורה זדונית

יכולות אלו מאפשרות לתוקפים לשמור על שליטה איתנה על מערכות נגועות ולהעמיק ברשתות.

שעות פעילות בלבד: טקטיקות חכמות למניעת גילוי

מאפיין יוצא דופן של DslogdRAT הוא לוח הזמנים המובנה שלו: הוא פועל רק בין השעות 8:00 בבוקר ל-20:00 בערב. מחוץ לשעות אלה, הוא נשאר רדום, מחקה דפוסי פעילות סטנדרטיים של משתמשים וממזער את הסיכון לגילוי בשעות החוץ.

יותר מאיום אחד: גילוי SPAWNSNARE

לצד DslogdRAT, נמצאה תוכנה זדונית נוספת בשם SPAWNSNARE במערכות שנפגעו. בעוד שעדיין לא ברור האם תוכנות זדוניות אלו הן חלק מאותו קמפיין או קשורות ישירות לקבוצה UNC5221, נוכחותן בו-זמנית מרמזת על פעילויות מתואמות של גורמי איום מתוחכמים.

איום גובר: ניצולים חדשים בשנת 2025

באפריל 2025, חוקרי אבטחה חשפו כי פגיעות נוספת, CVE-2025-22457, נוצלה גם היא לפריסת תוכנות זדוניות. קמפיין חדש יותר זה יוחס ל-UNC5221, הנחשבת לקבוצת האקרים סינית. עם זאת, מומחים עדיין חוקרים האם פעילות זו קשורה להתקפות קודמות שכללו את משפחת התוכנות הזדוניות SPAWN.

מגמות

אחסון הענן שלך הוא הונאת דוא"ל מלאה

פישינג, ספאם
האינטרנט הוא חלק מהותי מהחיים המודרניים, אך הוא גם כר גידול לטקטיקות. פושעי סייבר מפתחים כל הזמן טקטיקות חדשות כדי להונות משתמשים, מה שהופך את זה חיוני לשמור על ערנות. תוכנית מטעה אחת כזו היא הונאת הדוא"ל 'אחסון הענן שלך מלא'. מסע הונאה זה מפעיל מניפולציות על משתמשים להאמין שאחסון הענן שלהם נמצא בסיכון, ומכריח אותם לעסוק באתרים לא בטוחים. ההבנה כיצד טקטיקה זו פועלת וכיצד אין לה קשר...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
32,130
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...