Malware-ul DslogdRAT
La sfârșitul anului 2024, experții în securitate cibernetică au descoperit un nou troian Remote Access (RAT) numit DslogdRAT, instalat pe dispozitivele Ivanti Connect Secure (ICS) compromise. Actorii amenințători au exploatat o vulnerabilitate critică zero-day, identificată ca CVE-2025-0282, care permitea executarea de cod la distanță neautentificată. Ivanti a remediat această vulnerabilitate la începutul lunii ianuarie 2025, dar nu înainte ca organizațiile din Japonia să fi fost deja selectate.
Cuprins
Spargerea ușii: Acces inițial prin Web Shell
Prima mișcare a atacatorilor a implicat implementarea unui shell web ușor, bazat pe Perl, deghizat în script CGI. Acest backdoor a fost verificat pentru o valoare specifică a cookie-ului, DSAUTOKEN=af95380019083db5, înainte de executarea comenzilor. Prin acest acces, atacatorii au putut lansa și alte programe malware, în special DslogdRAT.
Sub radar: Fluxul de atac în mai multe etape al DslogdRAT
DslogdRAT operează printr-un proces inteligent, în mai multe etape, pentru a evita detectarea:
Etapa 1: Procesul principal generează un proces copil responsabil pentru decodarea datelor de configurare și lansarea unui al doilea proces principal.
Etapa 2: Un proces părinte persistent rămâne activ, încorporând intervale de somn pentru a minimiza riscul de detectare.
Etapa 3: Al doilea proces copil inițiază funcționalitățile de bază ale RAT, inclusiv comunicarea cu sistemul și execuția comenzilor.
Această arhitectură garantează rezistență și discernământ, ceea ce face dificilă descoperirea și eliminarea programelor malware de către apărători.
Conversații secrete: tehnici de comunicare personalizate
Comunicarea cu serverul Command-and-Control (C2) se realizează prin socket-uri, utilizând o schemă de codificare personalizată bazată pe XOR. Mesajele codificate includ amprente critice ale sistemului și respectă un format de comunicare strict.
DslogdRAT suportă mai multe funcționalități cheie:
- Încărcarea și descărcarea fișierelor
- Executarea comenzilor shell
- Configurarea proxy-ului pentru direcționarea traficului rău intenționat
Aceste capabilități permit atacatorilor să mențină un control ferm asupra sistemelor infectate și să se integreze mai adânc în rețele.
Numai în timpul programului de lucru: Tactici inteligente pentru a evita detectarea
O caracteristică neobișnuită a DslogdRAT este programul său operațional încorporat: funcționează doar între orele 8:00 și 20:00. În afara acestor ore, rămâne inactiv, imitând tiparele standard de activitate ale utilizatorilor și minimizând riscul de detectare în afara orelor de program.
Mai mult de o amenințare: Descoperirea SPAWNSNARE
Pe lângă DslogdRAT, un alt malware numit SPAWNSNARE a fost găsit pe sistemele afectate. Deși rămâne neclar dacă aceste programe malware fac parte din aceeași campanie sau sunt direct legate de grupul UNC5221, prezența lor simultană sugerează activități coordonate ale unor actori amenințători sofisticați.
O amenințare tot mai mare: noi exploatări în 2025
În aprilie 2025, cercetătorii în domeniul securității au dezvăluit că o altă vulnerabilitate, CVE-2025-22457, fusese, de asemenea, transformată într-o armă pentru a implementa programe malware. Această campanie mai nouă a fost atribuită UNC5221, despre care se crede că este un grup de hackeri chinezi. Cu toate acestea, experții încă investighează dacă această activitate este legată de atacurile anterioare care au implicat familia de programe malware SPAWN.
