Malware DslogdRAT
Alla fine del 2024, gli esperti di sicurezza informatica hanno scoperto un nuovo Remote AccessTrojan (RAT) denominato DslogdRAT, installato su dispositivi Ivanti Connect Secure (ICS) compromessi. Gli autori della minaccia hanno sfruttato una vulnerabilità zero-day critica, identificata come CVE-2025-0282, che consentiva l'esecuzione di codice remoto non autenticato. Ivanti ha affrontato questa vulnerabilità all'inizio di gennaio 2025, ma non prima che alcune organizzazioni in Giappone fossero già state selezionate.
Sommario
Cracking the Door: accesso iniziale tramite Web Shell
La prima mossa degli aggressori è stata l'implementazione di una web shell leggera basata su Perl, camuffata da script CGI. Questa backdoor è stata verificata alla ricerca di uno specifico valore di cookie, DSAUTOKEN=af95380019083db5, prima di eseguire i comandi. Attraverso questo accesso, gli aggressori sono stati in grado di lanciare ulteriore malware, in particolare DslogdRAT.
Sotto il radar: il flusso di attacco multifase di DslogdRAT
DslogdRAT opera attraverso un processo intelligente, articolato in più fasi, per eludere il rilevamento:
Fase 1: il processo primario genera un processo figlio responsabile della decodifica dei dati di configurazione e dell'avvio di un secondo processo principale.
Fase 2: un processo padre persistente rimane attivo, incorporando intervalli di sospensione per ridurre al minimo il rischio di rilevamento.
Fase 3: il secondo processo figlio avvia le funzionalità RAT principali, tra cui la comunicazione di sistema e l'esecuzione dei comandi.
Questa architettura garantisce resilienza e furtività, rendendo difficile per i difensori scoprire ed eliminare il malware.
Conversazioni segrete: tecniche di comunicazione personalizzate
La comunicazione con il server di comando e controllo (C2) avviene tramite socket, utilizzando uno schema di codifica personalizzato basato su XOR. I messaggi codificati includono impronte digitali di sistema critiche e rispettano un formato di comunicazione rigoroso.
DslogdRAT supporta diverse funzionalità chiave:
- Caricamento e download dei file
- Esecuzione del comando shell
- Configurazione proxy per instradare il traffico dannoso
Queste capacità consentono agli aggressori di mantenere un controllo saldo sui sistemi infetti e di penetrare più a fondo nelle reti.
Solo orario lavorativo: tattiche intelligenti per evitare di essere scoperti
Una caratteristica insolita di DslogdRAT è il suo orario operativo integrato: è attivo solo tra le 8:00 e le 20:00. Al di fuori di questi orari, rimane inattivo, imitando i normali schemi di attività degli utenti e riducendo al minimo il rischio di essere rilevato al di fuori degli orari di lavoro.
Più di una minaccia: scoperta di SPAWNSNARE
Oltre a DslogdRAT, sui sistemi interessati è stato rilevato un altro malware chiamato SPAWNSNARE. Sebbene non sia ancora chiaro se questi malware facciano parte della stessa campagna o siano direttamente collegati al gruppo UNC5221, la loro presenza simultanea suggerisce attività coordinate da parte di sofisticati autori di minacce.
Una minaccia crescente: nuovi exploit nel 2025
Nell'aprile 2025, i ricercatori di sicurezza hanno rivelato che un'altra vulnerabilità, CVE-2025-22457, era stata sfruttata per diffondere malware. Questa nuova campagna è stata attribuita a UNC5221, ritenuto un gruppo di hacker cinese. Tuttavia, gli esperti stanno ancora indagando se questa attività sia collegata ai precedenti attacchi che hanno coinvolto la famiglia di malware SPAWN.
