Zlonamjerni softver DslogdRAT
Krajem 2024. godine, stručnjaci za kibernetičku sigurnost otkrili su novi Remote AccesTrojan (RAT) nazvan DslogdRAT, instaliran na kompromitiranim Ivanti Connect Secure (ICS) uređajima. Akteri prijetnji iskoristili su kritičnu zero-day ranjivost, praćenu kao CVE-2025-0282, koja je omogućavala neautentificirano udaljeno izvršavanje koda. Ivanti se pozabavio ovom ranjivošću početkom siječnja 2025., ali ne prije nego što su već odabrane organizacije u Japanu.
Sadržaj
Otvaranje vrata: Početni pristup putem web ljuske
Prvi potez napadača uključivao je implementaciju lagane web ljuske temeljene na Perlu, prikrivene kao CGI skripta. Ovaj backdoor je provjeravan na određenu vrijednost kolačića, DSAUTOKEN=af95380019083db5, prije izvršavanja naredbi. Kroz ovaj pristup, napadači su mogli pokrenuti daljnji zlonamjerni softver, posebno DslogdRAT.
Ispod radara: DslogdRAT-ov višefazni tijek napada
DslogdRAT djeluje kroz pametan, višestupanjski proces kako bi izbjegao otkrivanje:
Faza 1: Primarni proces stvara podređeni proces odgovoran za dekodiranje konfiguracijskih podataka i pokretanje drugog osnovnog procesa.
Faza 2: Trajni roditeljski proces ostaje aktivan, uključujući intervale spavanja kako bi se smanjio rizik otkrivanja.
Faza 3: Drugi podređeni proces pokreće osnovne RAT funkcionalnosti, uključujući komunikaciju sustava i izvršavanje naredbi.
Ova arhitektura jamči otpornost i prikrivenost, što braniteljima otežava otkrivanje i uklanjanje zlonamjernog softvera.
Tajni razgovori: Prilagođene tehnike komunikacije
Komunikacija s Command-and-Control (C2) poslužiteljem odvija se putem utičnica, korištenjem prilagođene sheme kodiranja temeljene na XOR-u. Kodirane poruke uključuju kritične sistemske otiske prstiju i pridržavaju se strogog komunikacijskog formata.
DslogdRAT podržava nekoliko ključnih funkcionalnosti:
- Prijenos i preuzimanje datoteka
- Izvršavanje naredbe ljuske
- Postavljanje proxyja za usmjeravanje zlonamjernog prometa
Ove mogućnosti omogućuju napadačima da održe čvrstu kontrolu nad zaraženim sustavima i prodru dublje u mreže.
Samo radno vrijeme: Pametne taktike za izbjegavanje otkrivanja
Neobična značajka DslogdRAT-a je njegov ugrađeni operativni raspored: radi samo između 8:00 i 20:00 sati. Izvan tih sati ostaje neaktivan, oponašajući standardne obrasce aktivnosti korisnika i minimizirajući rizik od otkrivanja izvan radnog vremena.
Više od jedne prijetnje: Otkriće SPAWNSNARE-a
Uz DslogdRAT, na pogođenim sustavima pronađen je još jedan zlonamjerni softver pod nazivom SPAWNSNARE. Iako ostaje nejasno jesu li ovi zlonamjerni softveri dio iste kampanje ili su izravno povezani s grupom UNC5221, njihova istovremena prisutnost ukazuje na koordinirane aktivnosti sofisticiranih prijetnji.
Rastuća prijetnja: Novi propusta u 2025. godini
U travnju 2025., sigurnosni istraživači otkrili su da je još jedna ranjivost, CVE-2025-22457, također korištena za postavljanje zlonamjernog softvera. Ova novija kampanja pripisana je UNC5221, za koju se vjeruje da je kineska hakerska skupina. Međutim, stručnjaci još uvijek istražuju je li ova aktivnost povezana s ranijim napadima koji uključuju obitelj zlonamjernog softvera SPAWN.
