DslogdRAT मैलवेयर

2024 के अंत में, साइबर सुरक्षा विशेषज्ञों ने एक नए रिमोट एक्सेसट्रोजन (RAT) का पता लगाया, जिसे DslogdRAT कहा जाता है, जिसे समझौता किए गए Ivanti Connect Secure (ICS) डिवाइस पर इंस्टॉल किया गया था। ख़तरनाक अभिनेताओं ने एक महत्वपूर्ण शून्य-दिन की भेद्यता का फ़ायदा उठाया, जिसे CVE-2025-0282 के रूप में ट्रैक किया गया, जिसने अप्रमाणित रिमोट कोड निष्पादन की अनुमति दी। Ivanti ने जनवरी 2025 की शुरुआत में इस भेद्यता से निपटा, लेकिन जापान में संगठनों का चयन करने से पहले नहीं।

दरवाज़ा तोड़ना: वेब शेल के माध्यम से प्रारंभिक पहुँच

हमलावरों की पहली चाल में एक हल्के, पर्ल-आधारित वेब शेल को CGI स्क्रिप्ट के रूप में प्रच्छन्न रूप में तैनात करना शामिल था। कमांड निष्पादित करने से पहले इस बैकडोर को एक विशिष्ट कुकी मान, DSAUTOKEN=af95380019083db5 के लिए जाँचा गया था। इस पहुँच के माध्यम से, हमलावर आगे मैलवेयर लॉन्च करने में सक्षम थे, विशेष रूप से DslogdRAT।

रडार के अंतर्गत: DslogdRAT का बहु-स्तरीय आक्रमण प्रवाह

DslogdRAT पता लगाने से बचने के लिए एक चतुर, बहु-चरणीय प्रक्रिया के माध्यम से काम करता है:

चरण 1: प्राथमिक प्रक्रिया एक चाइल्ड प्रक्रिया को जन्म देती है जो कॉन्फ़िगरेशन डेटा को डिकोड करने और दूसरी कोर प्रक्रिया को लॉन्च करने के लिए जिम्मेदार होती है।

चरण 2: एक सतत जनक प्रक्रिया सक्रिय रहती है, जिसमें पता लगाने के जोखिम को न्यूनतम करने के लिए नींद के अंतराल को शामिल किया जाता है।

चरण 3: दूसरी संतान प्रक्रिया कोर RAT कार्यात्मकताएं आरंभ करती है, जिसमें सिस्टम संचार और कमांड निष्पादन शामिल है।

यह संरचना लचीलेपन और गुप्तता की गारंटी देती है, जिससे रक्षकों के लिए मैलवेयर को उजागर करना और समाप्त करना चुनौतीपूर्ण हो जाता है।

गुप्त वार्तालाप: कस्टम संचार तकनीक

कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार सॉकेट के माध्यम से होता है, जिसमें कस्टम XOR-आधारित एन्कोडिंग योजना का उपयोग किया जाता है। एन्कोड किए गए संदेशों में महत्वपूर्ण सिस्टम फ़िंगरप्रिंट शामिल होते हैं और एक सख्त संचार प्रारूप का पालन करते हैं।

DslogdRAT कई प्रमुख कार्यात्मकताओं का समर्थन करता है:

• फ़ाइल अपलोड और डाउनलोड
• शेल कमांड निष्पादन
• दुर्भावनापूर्ण ट्रैफ़िक को रूट करने के लिए प्रॉक्सी सेटअप

ये क्षमताएं हमलावरों को संक्रमित प्रणालियों पर दृढ़ नियंत्रण बनाए रखने तथा नेटवर्क में और अधिक गहराई तक प्रवेश करने में सक्षम बनाती हैं।

केवल व्यावसायिक घंटों में: पता लगने से बचने की चतुराईपूर्ण तरकीबें

DslogdRAT की एक असामान्य विशेषता इसका अंतर्निहित परिचालन शेड्यूल है: यह केवल सुबह 8:00 बजे से शाम 8:00 बजे के बीच चलता है। इन घंटों के बाहर, यह निष्क्रिय रहता है, मानक उपयोगकर्ता गतिविधि पैटर्न की नकल करता है और ऑफ-ऑवर्स के दौरान पता लगाने के जोखिम को कम करता है।

एक से अधिक खतरे: स्पॉन्सनेयर की खोज

DslogdRAT के साथ-साथ, SPAWNSNARE नामक एक अन्य मैलवेयर प्रभावित सिस्टम पर पाया गया। हालांकि यह स्पष्ट नहीं है कि ये मैलवेयर एक ही अभियान का हिस्सा हैं या सीधे UNC5221 समूह से जुड़े हैं, लेकिन उनकी एक साथ मौजूदगी परिष्कृत ख़तरनाक अभिनेताओं द्वारा समन्वित गतिविधियों का संकेत देती है।

बढ़ता ख़तरा: 2025 में नए कारनामे

अप्रैल 2025 में, सुरक्षा शोधकर्ताओं ने खुलासा किया कि एक और भेद्यता, CVE-2025-22457, को भी मैलवेयर तैनात करने के लिए हथियार बनाया गया था। इस नए अभियान का श्रेय UNC5221 को दिया गया है, जिसे एक चीनी हैकिंग समूह माना जाता है। हालाँकि, विशेषज्ञ अभी भी जाँच कर रहे हैं कि क्या यह गतिविधि SPAWN मैलवेयर परिवार से जुड़े पहले के हमलों से जुड़ी है।