DslogdRAT ļaunprogrammatūra
2024. gada beigās kiberdrošības eksperti atklāja jaunu attālās piekļuves Trojas zirgu (RAT) ar nosaukumu DslogdRAT, kas bija instalēts kompromitētās Ivanti Connect Secure (ICS) ierīcēs. Draudu izpildītāji izmantoja kritisku nulles dienas ievainojamību, kas tika reģistrēta kā CVE-2025-0282 un ļāva veikt neautentificētu attālinātu koda izpildi. Ivanti novērsa šo ievainojamību 2025. gada janvāra sākumā, bet ne pirms tam, kad jau bija atlasītas organizācijas Japānā.
Satura rādītājs
Atverot durvis: sākotnējā piekļuve, izmantojot tīmekļa apvalku
Uzbrucēju pirmais solis bija viegla, uz Perl balstīta tīmekļa apvalka izvietošana, kas maskēta kā CGI skripts. Pirms komandu izpildes šī aizmugurējā ieeja tika pārbaudīta, lai atrastu konkrētu sīkfaila vērtību DSAUTOKEN=af95380019083db5. Izmantojot šo piekļuvi, uzbrucēji varēja palaist vēl citu ļaunprogrammatūru, jo īpaši DslogdRAT.
Zem radara: DslogdRAT daudzpakāpju uzbrukuma plūsma
DslogdRAT darbojas, izmantojot gudru, daudzpakāpju procesu, lai izvairītos no atklāšanas:
1. posms: primārais process ģenerē bērnprocesu, kas ir atbildīgs par konfigurācijas datu dekodēšanu un otrā pamatprocesa palaišanu.
2. posms: Pastāvīgs vecāku process paliek aktīvs, iekļaujot miega intervālus, lai samazinātu noteikšanas risku.
3. posms: otrais bērna process uzsāk RAT pamatfunkcijas, tostarp sistēmas komunikāciju un komandu izpildi.
Šī arhitektūra garantē noturību un slepenību, apgrūtinot aizstāvjiem ļaunprogrammatūras atklāšanu un iznīcināšanu.
Slepenas sarunas: pielāgotas komunikācijas metodes
Saziņa ar vadības un kontroles (C2) serveri notiek, izmantojot ligzdas, izmantojot pielāgotu XOR kodēšanas shēmu. Kodētie ziņojumi ietver kritiskus sistēmas pirkstu nospiedumus un atbilst stingram saziņas formātam.
DslogdRAT atbalsta vairākas galvenās funkcijas:
- Failu augšupielāde un lejupielāde
- Čaulas komandas izpilde
- Starpniekservera iestatīšana ļaunprātīgas datplūsmas maršrutēšanai
Šīs iespējas ļauj uzbrucējiem saglabāt stingru kontroli pār inficētajām sistēmām un ielauzties dziļāk tīklos.
Tikai darba laikā: gudra taktika, lai izvairītos no atklāšanas
Neparasta DslogdRAT iezīme ir tā iebūvētais darbības grafiks: tas darbojas tikai no plkst. 8:00 līdz 20:00. Ārpus šī laika tas paliek neaktīvā stāvoklī, atdarinot standarta lietotāja darbības modeļus un samazinot atklāšanas risku ārpus darba laika.
Vairāk nekā viens drauds: SPAWNSNARE atklāšana
Līdztekus DslogdRAT skartajās sistēmās tika atrasta vēl viena ļaunprogrammatūra ar nosaukumu SPAWNSNARE. Lai gan joprojām nav skaidrs, vai šī ļaunprogrammatūra ir daļa no vienas kampaņas vai tieši saistīta ar grupu UNC5221, to vienlaicīga klātbūtne liecina par sarežģītu apdraudējumu dalībnieku koordinētām darbībām.
Pieaugošs drauds: jauni ekspluatācijas gadījumi 2025. gadā
2025. gada aprīlī drošības pētnieki atklāja, ka vēl viena ievainojamība — CVE-2025-22457 — ir pārveidota par ieroci ļaunprogrammatūras izplatīšanai. Šī jaunākā kampaņa ir saistīta ar UNC5221, kas, domājams, ir ķīniešu hakeru grupa. Tomēr eksperti joprojām izmeklē, vai šī darbība ir saistīta ar agrākajiem uzbrukumiem, kuros iesaistīta SPAWN ļaunprogrammatūras saime.
