DslogdRAT ਮਾਲਵੇਅਰ

2024 ਦੇ ਅੰਤ ਵਿੱਚ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਇੱਕ ਨਵਾਂ ਰਿਮੋਟ ਐਕਸੈਸਟ੍ਰੋਜਨ (RAT) ਲੱਭਿਆ ਜਿਸਨੂੰ DslogdRAT ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਇਵਾਂਤੀ ਕਨੈਕਟ ਸਕਿਓਰ (ICS) ਡਿਵਾਈਸਾਂ 'ਤੇ ਸਥਾਪਿਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੇ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਜ਼ੀਰੋ-ਡੇ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ, ਜਿਸਨੂੰ CVE-2025-0282 ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸਨੇ ਅਣ-ਪ੍ਰਮਾਣਿਤ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਆਗਿਆ ਦਿੱਤੀ। ਇਵਾਂਤੀ ਨੇ ਜਨਵਰੀ 2025 ਦੀ ਸ਼ੁਰੂਆਤ ਵਿੱਚ ਇਸ ਕਮਜ਼ੋਰੀ ਨਾਲ ਨਜਿੱਠਿਆ, ਪਰ ਜਾਪਾਨ ਵਿੱਚ ਸੰਗਠਨਾਂ ਦੀ ਚੋਣ ਤੋਂ ਪਹਿਲਾਂ ਨਹੀਂ।

ਦਰਵਾਜ਼ਾ ਤੋੜਨਾ: ਵੈੱਬ ਸ਼ੈੱਲ ਰਾਹੀਂ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ

ਹਮਲਾਵਰਾਂ ਦੇ ਪਹਿਲੇ ਕਦਮ ਵਿੱਚ ਇੱਕ ਹਲਕੇ, ਪਰਲ-ਅਧਾਰਿਤ ਵੈੱਬ ਸ਼ੈੱਲ ਨੂੰ CGI ਸਕ੍ਰਿਪਟ ਦੇ ਰੂਪ ਵਿੱਚ ਤੈਨਾਤ ਕਰਨਾ ਸ਼ਾਮਲ ਸੀ। ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਇਸ ਬੈਕਡੋਰ ਨੂੰ ਇੱਕ ਖਾਸ ਕੂਕੀ ਮੁੱਲ, DSAUTOKEN=af95380019083db5 ਲਈ ਚੈੱਕ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਪਹੁੰਚ ਰਾਹੀਂ, ਹਮਲਾਵਰ ਹੋਰ ਮਾਲਵੇਅਰ, ਖਾਸ ਕਰਕੇ DslogdRAT, ਲਾਂਚ ਕਰਨ ਦੇ ਯੋਗ ਸਨ।

ਰਾਡਾਰ ਦੇ ਹੇਠਾਂ: DslogdRAT ਦਾ ਮਲਟੀ-ਸਟੇਜ ਅਟੈਕ ਫਲੋ

DslogdRAT ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਇੱਕ ਚਲਾਕ, ਬਹੁ-ਪੜਾਵੀ ਪ੍ਰਕਿਰਿਆ ਰਾਹੀਂ ਕੰਮ ਕਰਦਾ ਹੈ:

ਪੜਾਅ 1: ਪ੍ਰਾਇਮਰੀ ਪ੍ਰਕਿਰਿਆ ਇੱਕ ਚਾਈਲਡ ਪ੍ਰਕਿਰਿਆ ਪੈਦਾ ਕਰਦੀ ਹੈ ਜੋ ਸੰਰਚਨਾ ਡੇਟਾ ਨੂੰ ਡੀਕੋਡ ਕਰਨ ਅਤੇ ਦੂਜੀ ਕੋਰ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੁੰਦੀ ਹੈ।

ਪੜਾਅ 2: ਇੱਕ ਨਿਰੰਤਰ ਮਾਪੇ ਪ੍ਰਕਿਰਿਆ ਕਿਰਿਆਸ਼ੀਲ ਰਹਿੰਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਖੋਜ ਦੇ ਜੋਖਮ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕਰਨ ਲਈ ਨੀਂਦ ਦੇ ਅੰਤਰਾਲ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ।

ਪੜਾਅ 3: ਦੂਜਾ ਬੱਚਾ ਪ੍ਰਕਿਰਿਆ ਮੁੱਖ RAT ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਨੂੰ ਸ਼ੁਰੂ ਕਰਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਸਿਸਟਮ ਸੰਚਾਰ ਅਤੇ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਸ਼ਾਮਲ ਹਨ।

ਇਹ ਆਰਕੀਟੈਕਚਰ ਲਚਕੀਲੇਪਣ ਅਤੇ ਗੁਪਤਤਾ ਦੀ ਗਰੰਟੀ ਦਿੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਡਿਫੈਂਡਰਾਂ ਲਈ ਮਾਲਵੇਅਰ ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਅਤੇ ਖਤਮ ਕਰਨਾ ਚੁਣੌਤੀਪੂਰਨ ਹੋ ਜਾਂਦਾ ਹੈ।

ਗੁਪਤ ਗੱਲਬਾਤ: ਕਸਟਮ ਸੰਚਾਰ ਤਕਨੀਕਾਂ

ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਇੱਕ ਕਸਟਮ XOR-ਅਧਾਰਿਤ ਏਨਕੋਡਿੰਗ ਸਕੀਮ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਸਾਕਟਾਂ ਰਾਹੀਂ ਹੁੰਦਾ ਹੈ। ਏਨਕੋਡ ਕੀਤੇ ਸੁਨੇਹਿਆਂ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਸਿਸਟਮ ਫਿੰਗਰਪ੍ਰਿੰਟ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ ਅਤੇ ਇੱਕ ਸਖ਼ਤ ਸੰਚਾਰ ਫਾਰਮੈਟ ਦੀ ਪਾਲਣਾ ਕਰਦੇ ਹਨ।

DslogdRAT ਕਈ ਮੁੱਖ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ:

• ਫਾਈਲ ਅਪਲੋਡ ਅਤੇ ਡਾਊਨਲੋਡ ਕਰੋ
• ਸ਼ੈੱਲ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ
• ਖਤਰਨਾਕ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੂਟ ਕਰਨ ਲਈ ਪ੍ਰੌਕਸੀ ਸੈੱਟਅੱਪ

ਇਹ ਸਮਰੱਥਾਵਾਂ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਪੱਕਾ ਨਿਯੰਤਰਣ ਬਣਾਈ ਰੱਖਣ ਅਤੇ ਨੈੱਟਵਰਕਾਂ ਵਿੱਚ ਡੂੰਘਾਈ ਨਾਲ ਜਾਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ।

ਸਿਰਫ਼ ਕਾਰੋਬਾਰੀ ਘੰਟੇ: ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਚਲਾਕ ਰਣਨੀਤੀਆਂ

DslogdRAT ਦੀ ਇੱਕ ਅਸਾਧਾਰਨ ਵਿਸ਼ੇਸ਼ਤਾ ਇਸਦਾ ਬਿਲਟ-ਇਨ ਕਾਰਜਸ਼ੀਲ ਸਮਾਂ-ਸਾਰਣੀ ਹੈ: ਇਹ ਸਿਰਫ ਸਵੇਰੇ 8:00 ਵਜੇ ਤੋਂ ਰਾਤ 8:00 ਵਜੇ ਦੇ ਵਿਚਕਾਰ ਚੱਲਦਾ ਹੈ। ਇਹਨਾਂ ਘੰਟਿਆਂ ਤੋਂ ਬਾਹਰ, ਇਹ ਸੁਸਤ ਰਹਿੰਦਾ ਹੈ, ਮਿਆਰੀ ਉਪਭੋਗਤਾ ਗਤੀਵਿਧੀ ਪੈਟਰਨਾਂ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ ਅਤੇ ਆਫ-ਆਵਰਾਂ ਦੌਰਾਨ ਖੋਜ ਦੇ ਜੋਖਮ ਨੂੰ ਘੱਟ ਕਰਦਾ ਹੈ।

ਇੱਕ ਤੋਂ ਵੱਧ ਖ਼ਤਰੇ: SPAWNSNARE ਦੀ ਖੋਜ

DslogdRAT ਦੇ ਨਾਲ, ਪ੍ਰਭਾਵਿਤ ਸਿਸਟਮਾਂ 'ਤੇ SPAWNSNARE ਨਾਮਕ ਇੱਕ ਹੋਰ ਮਾਲਵੇਅਰ ਪਾਇਆ ਗਿਆ। ਹਾਲਾਂਕਿ ਇਹ ਅਸਪਸ਼ਟ ਹੈ ਕਿ ਇਹ ਮਾਲਵੇਅਰ ਉਸੇ ਮੁਹਿੰਮ ਦਾ ਹਿੱਸਾ ਹਨ ਜਾਂ ਸਿੱਧੇ ਤੌਰ 'ਤੇ UNC5221 ਸਮੂਹ ਨਾਲ ਜੁੜੇ ਹੋਏ ਹਨ, ਪਰ ਉਨ੍ਹਾਂ ਦੀ ਇੱਕੋ ਸਮੇਂ ਮੌਜੂਦਗੀ ਸੂਝਵਾਨ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਤਾਲਮੇਲ ਵਾਲੀਆਂ ਗਤੀਵਿਧੀਆਂ ਵੱਲ ਸੰਕੇਤ ਕਰਦੀ ਹੈ।

ਇੱਕ ਵਧਦਾ ਖ਼ਤਰਾ: 2025 ਵਿੱਚ ਨਵੇਂ ਕਾਰਨਾਮੇ

ਅਪ੍ਰੈਲ 2025 ਵਿੱਚ, ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਖੁਲਾਸਾ ਕੀਤਾ ਕਿ ਇੱਕ ਹੋਰ ਕਮਜ਼ੋਰੀ, CVE-2025-22457, ਨੂੰ ਵੀ ਮਾਲਵੇਅਰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਹਥਿਆਰਬੰਦ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਨਵੀਂ ਮੁਹਿੰਮ ਦਾ ਕਾਰਨ UNC5221 ਹੈ, ਜਿਸਨੂੰ ਇੱਕ ਚੀਨੀ ਹੈਕਿੰਗ ਸਮੂਹ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਮਾਹਰ ਅਜੇ ਵੀ ਜਾਂਚ ਕਰ ਰਹੇ ਹਨ ਕਿ ਕੀ ਇਹ ਗਤੀਵਿਧੀ SPAWN ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਨਾਲ ਜੁੜੇ ਪਹਿਲਾਂ ਦੇ ਹਮਲਿਆਂ ਨਾਲ ਜੁੜੀ ਹੋਈ ਹੈ।