DslogdRAT kenkėjiška programa
2024 m. pabaigoje kibernetinio saugumo ekspertai atrado naują nuotolinės prieigos Trojos arklį (RAT), pramintą „DslogdRAT“, įdiegtą pažeistuose „Ivanti Connect Secure“ (ICS) įrenginiuose. Grėsmių kūrėjai išnaudojo kritinę nulinės dienos pažeidžiamumą, identifikuotą kaip CVE-2025-0282, kuris leido nuotoliniu būdu vykdyti neautentifikuotą kodą. „Ivanti“ šią pažeidžiamumą išsprendė 2025 m. sausio pradžioje, tačiau prieš tai jau buvo atrinktos organizacijos Japonijoje.
Turinys
Pralaužti duris: pradinė prieiga per žiniatinklio apvalkalą
Pirmasis užpuolikų žingsnis buvo lengvos, „Perl“ pagrindu sukurtos žiniatinklio apvalkalo, užmaskuoto kaip CGI skriptas, panaudojimas. Prieš vykdant komandas, šios galinės durys buvo patikrintos dėl konkrečios slapuko reikšmės DSAUTOKEN=af95380019083db5. Naudodamiesi šia prieiga užpuolikai galėjo paleisti tolesnę kenkėjišką programą, ypač „DslogdRAT“.
Po radaru: „DslogdRAT“ daugiapakopė atakų eiga
„DslogdRAT“ veikia taikydamas išmanų, daugiapakopį procesą, kad išvengtų aptikimo:
1 etapas: Pagrindinis procesas sukuria antrinį procesą, atsakingą už konfigūracijos duomenų dekodavimą ir antrojo pagrindinio proceso paleidimą.
2 etapas: Nuolatinis pirminis procesas išlieka aktyvus, įtraukiant miego intervalus, kad būtų sumažinta aptikimo rizika.
3 etapas: antrasis antrinis procesas inicijuoja pagrindines RAT funkcijas, įskaitant sistemos ryšį ir komandų vykdymą.
Ši architektūra garantuoja atsparumą ir slaptumą, todėl gynėjams sunku aptikti ir sunaikinti kenkėjiškas programas.
Slapti pokalbiai: individualios komunikacijos technikos
Ryšys su „Command-and-Control“ (C2) serveriu vyksta per lizdus, naudojant pasirinktinę XOR pagrindu sukurtą kodavimo schemą. Užkoduoti pranešimai apima svarbiausius sistemos pirštų atspaudus ir laikosi griežto ryšio formato.
„DslogdRAT“ palaiko keletą pagrindinių funkcijų:
- Failų įkėlimas ir atsisiuntimas
- Apvalkalo komandos vykdymas
- Tarpinio serverio sąranka kenkėjiško srauto nukreipimui
Šios galimybės leidžia užpuolikams tvirtai kontroliuoti užkrėstas sistemas ir giliau įsiskverbti į tinklus.
Tik darbo valandomis: gudri taktika, padėsianti išvengti aptikimo
Neįprasta „DslogdRAT“ savybė yra integruotas veikimo grafikas: jis veikia tik nuo 8:00 iki 20:00 val. Ne darbo valandomis jis neveikia, mėgdžiodamas įprastus naudotojų veiklos modelius ir sumažindamas aptikimo riziką ne darbo valandomis.
Daugiau nei viena grėsmė: SPAWNSNARE atradimas
Be „DslogdRAT“, paveiktose sistemose buvo aptikta kita kenkėjiška programa, pavadinta SPAWNSNARE. Nors neaišku, ar šios kenkėjiškos programos yra tos pačios kampanijos dalis, ar tiesiogiai susijusios su UNC5221 grupe, jų vienalaikis buvimas rodo koordinuotą sudėtingų grėsmių veikėjų veiklą.
Auganti grėsmė: nauji išnaudojimai 2025 m.
2025 m. balandžio mėn. saugumo tyrėjai atskleidė, kad dar viena pažeidžiamumo sritis – CVE-2025-22457 – taip pat buvo panaudota kenkėjiškų programų platinimui. Ši naujesnė kampanija buvo priskirta UNC5221, manoma, Kinijos įsilaužėlių grupei. Tačiau ekspertai vis dar tiria, ar ši veikla susijusi su ankstesnėmis atakomis, susijusiomis su SPAWN kenkėjiškų programų šeima.
