DslogdRAT kártevő
2024 végén kiberbiztonsági szakértők felfedeztek egy új, DslogdRAT névre keresztelt távoli hozzáféréstrójai vírust (RAT), amely feltört Ivanti Connect Secure (ICS) eszközökre települt. A kiberfenyegetők egy kritikus, nulladik napi sebezhetőséget, a CVE-2025-0282 számon azonosított hibát használtak ki, amely hitelesítetlen távoli kódfuttatást tett lehetővé. Az Ivanti 2025 januárjának elején foglalkozott ezzel a sebezhetőséggel, de előtte már kiválasztották a japán szervezeteket.
Tartalomjegyzék
Ajtó feltörése: Kezdeti hozzáférés a Web Shell-en keresztül
A támadók első lépése egy könnyű, Perl-alapú web shell telepítése volt, amelyet CGI szkriptnek álcáztak. Ezt a hátsó ajtót egy adott sütiértékre, a DSAUTOKEN=af95380019083db5-re ellenőrizték, mielőtt végrehajtották volna a parancsokat. Ezen a hozzáférésen keresztül a támadók további rosszindulatú programokat tudtak elindítani, nevezetesen a DslogdRAT-ot.
A radar alatt: A DslogdRAT többlépcsős támadási folyamata
A DslogdRAT egy okos, többlépcsős folyamaton keresztül működik az észlelés elkerülése érdekében:
1. szakasz: Az elsődleges folyamat létrehoz egy gyermekfolyamatot, amely a konfigurációs adatok dekódolásáért és egy második magfolyamat elindításáért felelős.
2. szakasz: Egy állandó szülőfolyamat aktív marad, amely alvási intervallumokat tartalmaz az észlelési kockázat minimalizálása érdekében.
3. szakasz: A második gyermekfolyamat elindítja az alapvető RAT funkciókat, beleértve a rendszerkommunikációt és a parancsok végrehajtását.
Ez az architektúra garantálja a rugalmasságot és a lopakodást, megnehezítve a védők számára a rosszindulatú programok felderítését és eltávolítását.
Titkos beszélgetések: Egyéni kommunikációs technikák
A Command-and-Control (C2) szerverrel való kommunikáció socketeken keresztül történik, egyéni XOR-alapú kódolási séma használatával. A kódolt üzenetek kritikus rendszer-ujjlenyomatokat tartalmaznak, és szigorú kommunikációs formátumot követnek.
A DslogdRAT számos kulcsfontosságú funkciót támogat:
- Fájlfeltöltés és letöltés
- Shell parancs végrehajtása
- Proxy beállítása a rosszindulatú forgalom átirányításához
Ezek a képességek lehetővé teszik a támadók számára, hogy szilárdan ellenőrizzék a fertőzött rendszereket, és mélyebbre hatoljanak be a hálózatokba.
Csak munkaidőben: Okos taktikák a lebukás elkerülésére
A DslogdRAT egyik szokatlan tulajdonsága a beépített működési ütemterve: csak reggel 8:00 és este 8:00 óra között fut. Ezen időszakon kívül alvó állapotban marad, utánozza a szokásos felhasználói tevékenységi mintákat, és minimalizálja az észlelés kockázatát munkaidőn kívül.
Több mint egy fenyegetés: A SPAWNSNARE felfedezése
A DslogdRAT mellett egy másik, SPAWNSNARE nevű kártevőt is találtak az érintett rendszereken. Bár továbbra sem világos, hogy ezek a kártevők ugyanahhoz a kampányhoz tartoznak-e, vagy közvetlenül az UNC5221 csoporthoz kapcsolódnak, egyidejű jelenlétük kifinomult fenyegetések összehangolt tevékenységére utal.
Egyre növekvő fenyegetés: Új támadások 2025-ben
2025 áprilisában biztonsági kutatók felfedték, hogy egy másik sebezhetőséget, a CVE-2025-22457-et is fegyverré alakítottak át rosszindulatú programok telepítésére. Ezt az újabb kampányt az UNC5221-nek tulajdonítják, amelyről úgy vélik, hogy egy kínai hackercsoport. A szakértők azonban még mindig vizsgálják, hogy ez a tevékenység összefügg-e a SPAWN rosszindulatú programcsaládot érintő korábbi támadásokkal.
