DslogdRAT-skadevare
På slutten av 2024 avdekket cybersikkerhetseksperter en ny Remote AccesTrojan (RAT) kalt DslogdRAT, installert på kompromitterte Ivanti Connect Secure (ICS)-enheter. Trusselaktører utnyttet en kritisk nulldagssårbarhet, sporet som CVE-2025-0282, som tillot uautorisert ekstern kjøring av kode. Ivanti taklet denne sårbarheten i begynnelsen av januar 2025, men ikke før organisasjoner i Japan allerede var valgt.
Innholdsfortegnelse
Å knekke døren: Første tilgang gjennom Web Shell
Angripernes første trekk var å distribuere et lett, Perl-basert webskall forkledd som et CGI-skript. Denne bakdøren ble sjekket for en spesifikk informasjonskapselverdi, DSAUTOKEN=af95380019083db5, før kommandoer ble utført. Gjennom denne tilgangen kunne angriperne lansere ytterligere skadelig programvare, særlig DslogdRAT.
Under radaren: DslogdRATs flertrinns angrepsflyt
DslogdRAT opererer gjennom en smart prosess i flere trinn for å unngå å bli oppdaget:
Fase 1: Primærprosessen genererer en underprosess som er ansvarlig for å dekode konfigurasjonsdata og starte en andre kjerneprosess.
Fase 2: En vedvarende foreldreprosess forblir aktiv, og inkluderer søvnintervaller for å minimere deteksjonsrisikoen.
Fase 3: Den andre underordnede prosessen starter kjernefunksjonaliteten i RAT, inkludert systemkommunikasjon og kommandoutførelse.
Denne arkitekturen garanterer robusthet og stealth-egenskaper, noe som gjør det utfordrende for forsvarere å avdekke og avslutte skadevaren.
Hemmelige samtaler: Tilpassede kommunikasjonsteknikker
Kommunikasjon med kommando-og-kontroll-serveren (C2) skjer via sokkeler, ved hjelp av et tilpasset XOR-basert kodingssystem. De kodede meldingene inkluderer kritiske systemfingeravtrykk og følger et strengt kommunikasjonsformat.
DslogdRAT støtter flere viktige funksjoner:
- Filopplasting og -nedlasting
- Utførelse av skallkommando
- Proxy-oppsett for å rute ondsinnet trafikk
Disse funksjonene lar angripere opprettholde god kontroll over infiserte systemer og bevege seg dypere inn i nettverk.
Kun åpningstider: Smarte taktikker for å unngå oppdagelse
En uvanlig funksjon ved DslogdRAT er den innebygde driftsplanen: den kjører bare mellom kl. 08.00 og 20.00. Utenom disse tidene forblir den inaktiv, etterligner standard brukeraktivitetsmønstre og minimerer risikoen for oppdagelse utenom arbeidstid.
Mer enn én trussel: Oppdagelsen av SPAWNSNARE
Ved siden av DslogdRAT ble en annen skadelig programvare kalt SPAWNSNARE funnet på berørte systemer. Selv om det fortsatt er uklart om denne skadelige programvaren er en del av den samme kampanjen eller direkte knyttet til gruppen UNC5221, hinter deres samtidige tilstedeværelse til koordinerte aktiviteter fra sofistikerte trusselaktører.
En voksende trussel: Nye utnyttelser i 2025
I april 2025 avslørte sikkerhetsforskere at en annen sårbarhet, CVE-2025-22457, også hadde blitt brukt som et våpen for å distribuere skadelig programvare. Denne nyere kampanjen har blitt tilskrevet UNC5221, som antas å være en kinesisk hackergruppe. Eksperter undersøker imidlertid fortsatt om denne aktiviteten er knyttet til de tidligere angrepene som involverte SPAWN-skadevarefamilien.
