Вредоносное ПО DslogdRAT
В конце 2024 года эксперты по кибербезопасности обнаружили новый Remote AccesTrojan (RAT), получивший название DslogdRAT, установленный на скомпрометированных устройствах Ivanti Connect Secure (ICS). Злоумышленники использовали критическую уязвимость нулевого дня, идентифицированную как CVE-2025-0282, которая позволяла выполнять удаленный код без аутентификации. Ivanti занялась этой уязвимостью в начале января 2025 года, но не раньше, чем были выбраны организации в Японии.
Оглавление
Взлом двери: начальный доступ через веб-оболочку
Первый шаг злоумышленников заключался в развертывании облегченной веб-оболочки на основе Perl, замаскированной под скрипт CGI. Этот бэкдор проверялся на наличие определенного значения cookie, DSAUTOKEN=af95380019083db5, перед выполнением команд. Благодаря этому доступу злоумышленники смогли запустить еще больше вредоносных программ, в частности DslogdRAT.
Под радаром: многоэтапный поток атак DslogdRAT
DslogdRAT использует хитрый многоступенчатый процесс, позволяющий избежать обнаружения:
Этап 1: Основной процесс порождает дочерний процесс, отвечающий за декодирование данных конфигурации и запуск второго основного процесса.
Этап 2: Постоянный родительский процесс остается активным, включая интервалы сна для минимизации риска обнаружения.
Этап 3: Второй дочерний процесс инициирует основные функции RAT, включая системную связь и выполнение команд.
Такая архитектура гарантирует устойчивость и скрытность, что затрудняет обнаружение и уничтожение вредоносного ПО специалистами по защите.
Секретные разговоры: индивидуальные методы общения
Связь с сервером Command-and-Control (C2) осуществляется через сокеты с использованием пользовательской схемы кодирования на основе XOR. Закодированные сообщения включают критические системные отпечатки пальцев и придерживаются строгого формата связи.
DslogdRAT поддерживает несколько ключевых функций:
- Загрузка и скачивание файлов
- Выполнение команд оболочки
- Настройка прокси-сервера для маршрутизации вредоносного трафика
Эти возможности позволяют злоумышленникам сохранять полный контроль над зараженными системами и проникать глубже в сети.
Только в рабочее время: хитрые приемы, позволяющие избежать обнаружения
Необычной особенностью DslogdRAT является его встроенный график работы: он работает только с 8:00 до 20:00. Вне этих часов он остается бездействующим, имитируя стандартные шаблоны активности пользователя и минимизируя риск обнаружения в нерабочее время.
Более одной угрозы: обнаружение SPAWNSNARE
Наряду с DslogdRAT на затронутых системах была обнаружена еще одна вредоносная программа под названием SPAWNSNARE. Хотя остается неясным, являются ли эти вредоносные программы частью одной и той же кампании или напрямую связаны с группой UNC5221, их одновременное присутствие намекает на скоординированные действия сложных субъектов угроз.
Растущая угроза: новые эксплойты в 2025 году
В апреле 2025 года исследователи безопасности обнаружили, что другая уязвимость, CVE-2025-22457, также была использована для развертывания вредоносного ПО. Эта новая кампания была приписана UNC5221, которая, как полагают, является китайской хакерской группой. Однако эксперты все еще расследуют, связана ли эта деятельность с более ранними атаками с участием семейства вредоносных программ SPAWN.
