Perisian Hasad DslogdRAT
Pada penghujung tahun 2024, pakar keselamatan siber menemui AccesTrojan Jauh (RAT) baharu yang digelar DslogdRAT, dipasang pada peranti Ivanti Connect Secure (ICS) yang terjejas. Aktor ancaman mengeksploitasi kerentanan sifar hari yang kritikal, dijejaki sebagai CVE-2025-0282, yang membenarkan pelaksanaan kod jauh yang tidak disahkan. Ivanti menangani kelemahan ini pada awal Januari 2025, tetapi tidak sebelum organisasi di Jepun telah dipilih.
Isi kandungan
Memecahkan Pintu: Akses Awal melalui Web Shell
Langkah pertama penyerang melibatkan penggunaan shell web berasaskan Perl yang ringan yang menyamar sebagai skrip CGI. Pintu belakang ini telah disemak untuk nilai kuki tertentu, DSAUTOKEN=af95380019083db5, sebelum melaksanakan arahan. Melalui akses ini, penyerang dapat melancarkan perisian hasad selanjutnya, terutamanya DslogdRAT.
Di Bawah Radar: Aliran Serangan Berbilang Peringkat DslogdRAT
DslogdRAT beroperasi melalui proses pintar, pelbagai peringkat untuk mengelakkan pengesanan:
Peringkat 1: Proses utama melahirkan proses anak yang bertanggungjawab untuk menyahkod data konfigurasi dan melancarkan proses teras kedua.
Peringkat 2: Proses induk yang berterusan kekal aktif, menggabungkan selang waktu tidur untuk meminimumkan risiko pengesanan.
Peringkat 3: Proses anak kedua memulakan fungsi RAT teras, termasuk komunikasi sistem dan pelaksanaan perintah.
Seni bina ini menjamin daya tahan dan kesembunyian, menjadikannya mencabar bagi pembela untuk mendedahkan dan menamatkan perisian hasad.
Perbualan Rahsia: Teknik Komunikasi Tersuai
Komunikasi dengan pelayan Command-and-Control (C2) berlaku melalui soket, menggunakan skema pengekodan berasaskan XOR tersuai. Mesej yang dikodkan termasuk cap jari sistem kritikal dan mematuhi format komunikasi yang ketat.
DslogdRAT menyokong beberapa fungsi utama:
- Muat naik dan muat turun fail
- Pelaksanaan arahan Shell
- Persediaan proksi untuk menghalakan trafik berniat jahat
Keupayaan ini membolehkan penyerang mengekalkan kawalan kukuh ke atas sistem yang dijangkiti dan berputar lebih dalam ke dalam rangkaian.
Waktu Perniagaan Sahaja: Taktik Bijak untuk Mengelak Pengesanan
Ciri luar biasa DslogdRAT ialah jadual operasi terbina dalamnya: ia hanya berjalan antara 8:00 pagi dan 8:00 malam. Di luar waktu ini, ia kekal tidak aktif, meniru corak aktiviti pengguna standard dan meminimumkan risiko pengesanan semasa waktu luar.
Lebih daripada Satu Ancaman: Penemuan SPAWNSNARE
Di samping DslogdRAT, satu lagi perisian hasad bernama SPAWNSNARE ditemui pada sistem yang terjejas. Walaupun masih tidak jelas sama ada perisian hasad ini adalah sebahagian daripada kempen yang sama atau terikat secara langsung dengan kumpulan UNC5221, kehadiran serentak mereka membayangkan aktiviti yang diselaraskan oleh pelakon ancaman yang canggih.
Ancaman yang semakin meningkat: Eksploitasi Baharu pada 2025
Pada April 2025, penyelidik keselamatan mendedahkan bahawa satu lagi kelemahan, CVE-2025-22457, juga telah dipersenjatai untuk menggunakan perisian hasad. Kempen baharu ini telah dikaitkan dengan UNC5221, dipercayai kumpulan penggodam China. Walau bagaimanapun, pakar masih menyiasat sama ada aktiviti ini berkaitan dengan serangan terdahulu yang melibatkan keluarga perisian hasad SPAWN.
