Oprogramowanie DslogdRAT
Pod koniec 2024 r. eksperci ds. cyberbezpieczeństwa odkryli nowego trojana Remote AccesTrojan (RAT) nazwanego DslogdRAT, zainstalowanego na zainfekowanych urządzeniach Ivanti Connect Secure (ICS). Aktorzy zagrożeń wykorzystali krytyczną lukę typu zero-day, śledzoną jako CVE-2025-0282, która umożliwiała nieuwierzytelnione zdalne wykonywanie kodu. Ivanti uporało się z tą luką na początku stycznia 2025 r., ale nie wcześniej niż wybrano organizacje w Japonii.
Spis treści
Pęknięcie drzwi: wstępny dostęp przez powłokę internetową
Pierwszym ruchem atakujących było wdrożenie lekkiej powłoki internetowej opartej na Perlu, zamaskowanej jako skrypt CGI. Przed wykonaniem poleceń sprawdzono tę tylną furtkę pod kątem określonej wartości pliku cookie, DSAUTOKEN=af95380019083db5. Dzięki temu dostępowi atakujący mogli uruchomić kolejne złośliwe oprogramowanie, w szczególności DslogdRAT.
Pod radarem: wieloetapowy przepływ ataku DslogdRAT
DslogdRAT działa w oparciu o inteligentny, wieloetapowy proces, aby uniknąć wykrycia:
Etap 1: Proces główny uruchamia proces potomny odpowiedzialny za dekodowanie danych konfiguracyjnych i uruchomienie drugiego procesu podstawowego.
Etap 2: Trwały proces nadrzędny pozostaje aktywny, uwzględniając przerwy w śnie w celu zminimalizowania ryzyka wykrycia.
Etap 3: Drugi proces potomny inicjuje podstawowe funkcjonalności RAT, w tym komunikację systemową i wykonywanie poleceń.
Taka architektura gwarantuje odporność i dyskretność, przez co obrońcom trudno jest wykryć i unieszkodliwić złośliwe oprogramowanie.
Tajne rozmowy: niestandardowe techniki komunikacji
Komunikacja z serwerem Command-and-Control (C2) odbywa się za pośrednictwem gniazd, przy użyciu niestandardowego schematu kodowania opartego na XOR. Zakodowane wiadomości zawierają krytyczne odciski palców systemu i są zgodne ze ścisłym formatem komunikacji.
DslogdRAT obsługuje kilka kluczowych funkcjonalności:
- Przesyłanie i pobieranie plików
- Wykonywanie poleceń powłoki
- Konfiguracja serwera proxy w celu kierowania złośliwym ruchem
Dzięki tym możliwościom atakujący mogą zachować pełną kontrolę nad zainfekowanymi systemami i wnikać głębiej w sieć.
Tylko w godzinach pracy: sprytne taktyki, aby uniknąć wykrycia
Nietypową cechą DslogdRAT jest wbudowany harmonogram operacyjny: działa tylko między 8:00 a 20:00. Poza tymi godzinami pozostaje uśpiony, naśladując standardowe wzorce aktywności użytkowników i minimalizując ryzyko wykrycia poza godzinami pracy.
Więcej niż jedno zagrożenie: odkrycie SPAWNSNARE
Oprócz DslogdRAT, w zainfekowanych systemach znaleziono inne malware o nazwie SPAWNSNARE. Chociaż nie jest jasne, czy te malware są częścią tej samej kampanii, czy są bezpośrednio powiązane z grupą UNC5221, ich jednoczesna obecność wskazuje na skoordynowane działania wyrafinowanych aktorów zagrożeń.
Rosnące zagrożenie: nowe exploity w 2025 r.
W kwietniu 2025 r. badacze ds. bezpieczeństwa ujawnili, że inna luka, CVE-2025-22457, została również wykorzystana jako broń do wdrażania złośliwego oprogramowania. Ta nowsza kampania została przypisana UNC5221, prawdopodobnie chińskiej grupie hakerskiej. Jednak eksperci nadal badają, czy ta aktywność jest powiązana z wcześniejszymi atakami z udziałem rodziny złośliwego oprogramowania SPAWN.
