DslogdRAT 맬웨어

2024년 말, 사이버 보안 전문가들은 손상된 Ivanti Connect Secure(ICS) 기기에 설치된 DslogdRAT이라는 새로운 원격 접속 트로이 목마(RAT)를 발견했습니다. 위협 행위자들은 CVE-2025-0282로 추적되는 심각한 제로데이 취약점을 악용하여 인증되지 않은 원격 코드 실행을 허용했습니다. Ivanti는 2025년 1월 초 이 취약점을 해결했지만, 일본 내 조직들이 이미 선정된 후였습니다.

문 열기: 웹 셸을 통한 초기 접근

공격자의 첫 번째 움직임은 CGI 스크립트로 위장한 가벼운 Perl 기반 웹 셸을 배포하는 것이었습니다. 이 백도어는 명령을 실행하기 전에 특정 쿠키 값인 DSAUTOKEN=af95380019083db5를 확인했습니다. 이를 통해 공격자는 DslogdRAT과 같은 추가 악성코드를 실행할 수 있었습니다.

레이더 아래: DslogdRAT의 다단계 공격 흐름

DslogdRAT는 감지를 피하기 위해 영리하고 다단계적인 프로세스를 통해 작동합니다.

1단계: 기본 프로세스는 구성 데이터를 디코딩하고 두 번째 핵심 프로세스를 시작하는 자식 프로세스를 생성합니다.

2단계: 지속적인 부모 프로세스가 활성 상태를 유지하며, 감지 위험을 최소화하기 위해 수면 간격을 통합합니다.

3단계: 두 번째 자식 프로세스가 시스템 통신 및 명령 실행을 포함한 핵심 RAT 기능을 시작합니다.

이러한 아키텍처는 회복성과 은밀성을 보장하여 방어자가 맬웨어를 발견하고 종료하기 어렵게 만듭니다.

비밀 대화: 맞춤형 커뮤니케이션 기술

명령 및 제어(C2) 서버와의 통신은 소켓을 통해 이루어지며, 맞춤형 XOR 기반 인코딩 체계를 사용합니다. 인코딩된 메시지에는 중요한 시스템 지문이 포함되며 엄격한 통신 형식을 준수합니다.

DslogdRAT는 여러 가지 주요 기능을 지원합니다.

• 파일 업로드 및 다운로드
• 쉘 명령 실행
• 악성 트래픽을 라우팅하기 위한 프록시 설정

이러한 기능을 통해 공격자는 감염된 시스템을 확실하게 제어하고 네트워크 깊숙이 침투할 수 있습니다.

영업시간 한정: 감지를 피하기 위한 영리한 전략

DslogdRAT의 특이한 기능은 내장된 운영 일정입니다. 오전 8시부터 오후 8시까지만 실행됩니다. 이 시간 외에는 휴면 상태를 유지하여 일반적인 사용자 활동 패턴을 모방하고, 업무 시간 외 탐지 위험을 최소화합니다.

하나 이상의 위협: SPAWNSNARE 발견

DslogdRAT과 함께 SPAWNSNARE라는 또 다른 악성코드가 영향을 받은 시스템에서 발견되었습니다. 이 악성코드들이 동일한 캠페인의 일부인지 아니면 UNC5221 그룹과 직접적인 관련이 있는지는 아직 불분명하지만, 두 악성코드가 동시에 존재한다는 사실은 정교한 위협 행위자들의 조직적인 활동을 암시합니다.

증가하는 위협: 2025년의 새로운 악용 사례

2025년 4월, 보안 연구원들은 또 다른 취약점인 CVE-2025-22457이 악성코드 유포를 위해 무기화되었음을 밝혔습니다. 이 새로운 캠페인은 중국 해킹 그룹으로 추정되는 UNC5221의 소행으로 추정됩니다. 그러나 전문가들은 이 활동이 SPAWN 악성코드 계열과 관련된 이전 공격과 관련이 있는지 여부를 아직 조사하고 있습니다.