DslogdRAT मालवेयर

२०२४ को अन्त्यमा, साइबर सुरक्षा विशेषज्ञहरूले सम्झौता गरिएका इभान्टी कनेक्ट सेक्योर (ICS) उपकरणहरूमा स्थापित DslogdRAT नामक नयाँ रिमोट एक्सेसट्रोजन (RAT) पत्ता लगाए। खतराका अभिनेताहरूले CVE-२०२५-०२८२ को रूपमा ट्र्याक गरिएको एउटा महत्वपूर्ण शून्य-दिनको जोखिमको शोषण गरे, जसले अप्रमाणित रिमोट कोड कार्यान्वयनलाई अनुमति दियो। इभान्टीले जनवरी २०२५ को सुरुमा यो जोखिमलाई सम्बोधन गरे, तर जापानका संस्थाहरू पहिले नै छनोट भइसक्नु अघि होइन।

ढोका फुटाउने: वेब शेल मार्फत प्रारम्भिक पहुँच

आक्रमणकारीहरूको पहिलो चालमा CGI स्क्रिप्टको रूपमा भेषमा हलुका, पर्ल-आधारित वेब शेल तैनाथ गर्नु समावेश थियो। आदेशहरू कार्यान्वयन गर्नु अघि यो ब्याकडोरलाई एक विशिष्ट कुकी मान, DSAUTOKEN=af95380019083db5 को लागि जाँच गरिएको थियो। यस पहुँच मार्फत, आक्रमणकारीहरूले थप मालवेयर, विशेष गरी DslogdRAT सुरु गर्न सक्षम भए।

रडार अन्तर्गत: DslogdRAT को बहु-चरण आक्रमण प्रवाह

DslogdRAT ले पत्ता लगाउनबाट बच्नको लागि एक चलाख, बहु-चरणीय प्रक्रिया मार्फत काम गर्छ:

चरण १: प्राथमिक प्रक्रियाले कन्फिगरेसन डेटा डिकोड गर्न र दोस्रो कोर प्रक्रिया सुरु गर्न जिम्मेवार चाइल्ड प्रक्रियालाई जन्म दिन्छ।

चरण २: पत्ता लगाउने जोखिम कम गर्न निद्रा अन्तरालहरू समावेश गर्दै, एक निरन्तर अभिभावक प्रक्रिया सक्रिय रहन्छ।

चरण ३: दोस्रो बाल प्रक्रियाले प्रणाली सञ्चार र आदेश कार्यान्वयन सहित मुख्य RAT कार्यक्षमताहरू सुरु गर्दछ।

यो वास्तुकलाले लचिलोपन र लुकाउने क्षमताको ग्यारेन्टी दिन्छ, जसले गर्दा रक्षकहरूलाई मालवेयर पत्ता लगाउन र समाप्त गर्न चुनौतीपूर्ण बनाउँछ।

गोप्य कुराकानीहरू: अनुकूलित सञ्चार प्रविधिहरू

कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरसँग सञ्चार सकेटहरू मार्फत हुन्छ, अनुकूलन XOR-आधारित एन्कोडिङ योजना प्रयोग गरेर। एन्कोड गरिएका सन्देशहरूमा महत्वपूर्ण प्रणाली फिंगरप्रिन्टहरू समावेश हुन्छन् र कडा सञ्चार ढाँचामा पालना गरिन्छ।

DslogdRAT ले धेरै प्रमुख कार्यक्षमताहरूलाई समर्थन गर्दछ:

• फाइल अपलोड र डाउनलोड गर्नुहोस्
• शेल आदेश कार्यान्वयन
• दुर्भावनापूर्ण ट्राफिकलाई मार्गनिर्देशन गर्न प्रोक्सी सेटअप

यी क्षमताहरूले आक्रमणकारीहरूलाई संक्रमित प्रणालीहरूमा दृढ नियन्त्रण कायम राख्न र नेटवर्कहरूमा गहिरो प्रवेश गर्न अनुमति दिन्छ।

व्यापारिक समय मात्र: पत्ता लगाउनबाट बच्न चलाखीपूर्ण रणनीतिहरू

DslogdRAT को एउटा असामान्य विशेषता यसको निर्मित सञ्चालन तालिका हो: यो बिहान ८:०० बजेदेखि बेलुका ८:०० बजेसम्म मात्र चल्छ। यी घण्टा बाहिर, यो निष्क्रिय रहन्छ, मानक प्रयोगकर्ता गतिविधि ढाँचाहरूको नक्कल गर्छ र अफ-आवरको समयमा पत्ता लाग्ने जोखिमलाई कम गर्छ।

एक भन्दा बढी खतरा: SPAWNSNARE को खोज

DslogdRAT सँगसँगै, प्रभावित प्रणालीहरूमा SPAWNSNARE नामक अर्को मालवेयर फेला पर्यो। यी मालवेयर एउटै अभियानको हिस्सा हुन् वा UNC5221 समूहसँग प्रत्यक्ष रूपमा सम्बन्धित छन् भन्ने कुरा स्पष्ट नभए पनि, तिनीहरूको एकैसाथ उपस्थितिले परिष्कृत खतरा अभिनेताहरूद्वारा समन्वित गतिविधिहरूमा संकेत गर्दछ।

बढ्दो खतरा: २०२५ मा नयाँ शोषणहरू

अप्रिल २०२५ मा, सुरक्षा अनुसन्धानकर्ताहरूले पत्ता लगाए कि अर्को जोखिम, CVE-2025-22457, लाई पनि मालवेयर तैनाथ गर्न हतियार बनाइएको थियो। यो नयाँ अभियान UNC5221 लाई जिम्मेवार ठहराइएको छ, जुन चिनियाँ ह्याकिङ समूह हो भन्ने विश्वास गरिन्छ। यद्यपि, विज्ञहरूले अझै पनि यो गतिविधि SPAWN मालवेयर परिवारसँग सम्बन्धित पहिलेका आक्रमणहरूसँग जोडिएको छ कि छैन भनेर अनुसन्धान गरिरहेका छन्।