DslogdRAT-malware
Eind 2024 ontdekten cybersecurityexperts een nieuwe Remote AccesTrojan (RAT), genaamd DslogdRAT, die geïnstalleerd was op gecompromitteerde Ivanti Connect Secure (ICS)-apparaten. Cybercriminelen maakten misbruik van een kritieke zero-day-kwetsbaarheid, bekend als CVE-2025-0282, die ongeauthenticeerde uitvoering van code op afstand mogelijk maakte. Ivanti pakte deze kwetsbaarheid begin januari 2025 aan, maar niet voordat organisaties in Japan al waren geselecteerd.
Inhoudsopgave
De deur kraken: eerste toegang via webshell
De eerste stap van de aanvallers bestond uit het implementeren van een lichtgewicht, Perl-gebaseerde webshell, vermomd als een CGI-script. Deze backdoor werd gecontroleerd op een specifieke cookiewaarde, DSAUTOKEN=af95380019083db5, voordat er opdrachten werden uitgevoerd. Via deze toegang konden aanvallers nog meer malware lanceren, met name DslogdRAT.
Onder de radar: DslogdRAT's meertraps aanvalsstroom
DslogdRAT werkt via een slim, meerfasenproces om detectie te omzeilen:
Fase 1: Het primaire proces genereert een onderliggend proces dat verantwoordelijk is voor het decoderen van configuratiegegevens en het starten van een tweede kernproces.
Fase 2: Er blijft een persistent ouderproces actief, waarbij slaapintervallen worden ingebouwd om het risico op detectie te minimaliseren.
Fase 3: Het tweede onderliggende proces initieert de belangrijkste RAT-functionaliteiten, waaronder systeemcommunicatie en uitvoering van opdrachten.
Deze architectuur garandeert veerkracht en onopvallendheid, waardoor het voor verdedigers lastig wordt om de malware te ontdekken en te beëindigen.
Geheime gesprekken: aangepaste communicatietechnieken
Communicatie met de Command-and-Control (C2)-server vindt plaats via sockets, met behulp van een aangepast XOR-gebaseerd coderingsschema. De gecodeerde berichten bevatten kritische systeemvingerafdrukken en voldoen aan een strikt communicatieformaat.
DslogdRAT ondersteunt verschillende belangrijke functionaliteiten:
- Bestanden uploaden en downloaden
- Uitvoering van shell-opdrachten
- Proxy-instelling om kwaadaardig verkeer te routeren
Dankzij deze mogelijkheden kunnen aanvallers de controle over geïnfecteerde systemen behouden en dieper in netwerken doordringen.
Alleen tijdens openingstijden: slimme tactieken om detectie te voorkomen
Een ongebruikelijk kenmerk van DslogdRAT is het ingebouwde operationele schema: het werkt alleen tussen 8:00 en 20:00 uur. Buiten deze uren blijft het inactief, waarbij het de standaardpatronen van gebruikersactiviteit nabootst en het risico op detectie buiten kantoortijden minimaliseert.
Meer dan één bedreiging: ontdekking van SPAWNSNARE
Naast DslogdRAT werd ook een andere malware genaamd SPAWNSNARE op de getroffen systemen aangetroffen. Hoewel het onduidelijk blijft of deze malware deel uitmaakt van dezelfde campagne of direct verband houdt met de groep UNC5221, wijst hun gelijktijdige aanwezigheid op gecoördineerde activiteiten van geavanceerde cybercriminelen.
Een groeiende bedreiging: nieuwe exploits in 2025
In april 2025 onthulden beveiligingsonderzoekers dat een andere kwetsbaarheid, CVE-2025-22457, ook was ingezet om malware te verspreiden. Deze nieuwere campagne wordt toegeschreven aan UNC5221, vermoedelijk een Chinese hackersgroep. Deskundigen onderzoeken echter nog steeds of deze activiteit verband houdt met eerdere aanvallen met de SPAWN-malwarefamilie.
