DslogdRAT Malware
No final de 2024, especialistas em segurança cibernética descobriram um novo Remote Access Trojan (RAT), denominado DslogdRAT, instalado em dispositivos Ivanti Connect Secure (ICS) comprometidos. Os agentes de ameaças exploraram uma vulnerabilidade crítica de dia zero, identificada como CVE-2025-0282, que permitia a execução remota de código não autenticado. A Ivanti abordou essa vulnerabilidade no início de janeiro de 2025, mas não antes de as organizações no Japão já terem sido selecionadas.
Índice
Abrindo a Porta: Acesso Inicial através de um Web Shell
A primeira ação dos invasores envolveu a implantação de um shell web leve, baseado em Perl, disfarçado de script CGI. Esse backdoor foi verificado em busca de um valor de cookie específico, DSAUTOKEN=af95380019083db5, antes da execução dos comandos. Por meio desse acesso, os invasores conseguiram lançar mais malware, principalmente o DslogdRAT.
Abaixo do Radar: O Fluxo do Ataque do DslogdRAT em Vários Estágios
O DslogdRAT opera por meio de um processo inteligente e multiestágios para evitar a detecção:
Estágio 1: O processo primário gera um processo filho responsável por decodificar dados de configuração e iniciar um segundo processo principal.
Estágio 2: Um processo parental persistente permanece ativo, incorporando intervalos de sono para minimizar o risco de detecção.
Estágio 3: O segundo processo filho inicia as principais funcionalidades do RAT, incluindo comunicação do sistema e execução de comandos.
Essa arquitetura garante resiliência e furtividade, tornando difícil para os defensores descobrirem e eliminarem o malware.
Conversas Secretas: Técnicas de Comunicação Personalizadas
A comunicação com o servidor de Comando e Controle (C2) ocorre por meio de soquetes, utilizando um esquema de codificação personalizado baseado em XOR. As mensagens codificadas incluem impressões digitais críticas do sistema e seguem um formato de comunicação rigoroso.
O DslogdRAT oferece suporte a diversas funcionalidades importantes:
- Upload e download de arquivos
- Execução de comando shell
- Configuração de proxy para rotear tráfego malicioso
Esses recursos permitem que os invasores mantenham controle firme sobre os sistemas infectados e invadam mais profundamente as redes.
Somente Durante o Horário Comercial: Táticas Inteligentes para Evitar a Detecção
Uma característica incomum do DslogdRAT é seu cronograma operacional integrado: ele funciona apenas entre 8h e 20h. Fora desse horário, ele permanece inativo, imitando os padrões de atividade padrão do usuário e minimizando o risco de detecção fora do horário comercial.
Mais de uma Ameaça: A Descoberta do SPAWNSNARE
Além do DslogdRAT, outro malware chamado SPAWNSNARE foi encontrado em sistemas afetados. Embora não esteja claro se esses malwares fazem parte da mesma campanha ou estão diretamente ligados ao grupo UNC5221, sua presença simultânea sugere atividades coordenadas por agentes de ameaças sofisticados.
Uma Ameaça Crescente: Novas Explorações em 2025
Em abril de 2025, pesquisadores de segurança revelaram que outra vulnerabilidade, a CVE-2025-22457, também havia sido utilizada como arma para implantar malware. Essa nova campanha foi atribuída ao UNC5221, que se acredita ser um grupo de hackers chinês. No entanto, especialistas ainda estão investigando se essa atividade está conectada aos ataques anteriores envolvendo a família de malware SPAWN.
