Škodlivý softvér DslogdRAT
Koncom roka 2024 experti na kybernetickú bezpečnosť odhalili nový trójsky kôň s vzdialeným prístupom (RAT) s názvom DslogdRAT, ktorý bol nainštalovaný na napadnutých zariadeniach Ivanti Connect Secure (ICS). Útočníci zneužili kritickú zraniteľnosť typu zero-day, sledovanú ako CVE-2025-0282, ktorá umožňovala neoverené spustenie kódu na diaľku. Ivanti túto zraniteľnosť riešila začiatkom januára 2025, ale až po tom, čo už boli vybrané organizácie v Japonsku.
Obsah
Otvorenie dverí: Počiatočný prístup cez Web Shell
Prvým krokom útočníkov bolo nasadenie ľahkého webového shellu založeného na jazyku Perl, maskovaného ako CGI skript. Tento backdoor bol pred vykonaním príkazov skontrolovaný na prítomnosť špecifickej hodnoty súboru cookie, DSAUTOKEN=af95380019083db5. Prostredníctvom tohto prístupu boli útočníci schopní spustiť ďalší malvér, najmä DslogdRAT.
Pod radarom: Viacstupňový útok DslogdRAT
DslogdRAT funguje prostredníctvom dômyselného viacstupňového procesu, aby sa vyhol detekcii:
Fáza 1: Primárny proces spustí podradený proces zodpovedný za dekódovanie konfiguračných údajov a spustenie druhého jadrového procesu.
Fáza 2: Trvalý rodičovský proces zostáva aktívny a zahŕňa intervaly spánku, aby sa minimalizovalo riziko detekcie.
Fáza 3: Druhý podradený proces inicializuje základné funkcie RAT vrátane systémovej komunikácie a vykonávania príkazov.
Táto architektúra zaručuje odolnosť a nenápadnosť, čo sťažuje obrancom odhalenie a ukončenie malvéru.
Tajné rozhovory: Techniky komunikácie na mieru
Komunikácia so serverom Command-and-Control (C2) prebieha cez sockety s použitím vlastnej schémy kódovania založenej na XOR. Zakódované správy obsahujú kritické systémové odtlačky prstov a dodržiavajú prísny komunikačný formát.
DslogdRAT podporuje niekoľko kľúčových funkcií:
- Nahrávanie a sťahovanie súborov
- Vykonanie príkazu shellu
- Nastavenie proxy servera na smerovanie škodlivej prevádzky
Vďaka týmto schopnostiam si útočníci udržiavajú pevnú kontrolu nad infikovanými systémami a prenikajú hlbšie do sietí.
Len v pracovných hodinách: Šikovné taktiky, ako sa vyhnúť odhaleniu
Nezvyčajnou vlastnosťou DslogdRAT je jeho vstavaný prevádzkový plán: beží iba medzi 8:00 a 20:00. Mimo týchto hodín zostáva neaktívny, napodobňuje štandardné vzorce aktivity používateľov a minimalizuje riziko odhalenia mimo pracovnej doby.
Viac ako jedna hrozba: Objav SPAWNSNARE
Popri DslogdRAT sa na postihnutých systémoch našiel aj ďalší malvér s názvom SPAWNSNARE. Hoci nie je jasné, či sú tieto malvéry súčasťou tej istej kampane alebo priamo prepojené so skupinou UNC5221, ich súčasná prítomnosť naznačuje koordinované aktivity sofistikovaných aktérov hrozby.
Rastúca hrozba: Nové útoky v roku 2025
V apríli 2025 bezpečnostní výskumníci odhalili, že ďalšia zraniteľnosť, CVE-2025-22457, bola tiež použitá na nasadenie malvéru. Táto novšia kampaň bola pripísaná UNC5221, o ktorej sa predpokladá, že patrí čínskej hackerskej skupine. Odborníci však stále skúmajú, či táto aktivita súvisí s predchádzajúcimi útokmi zahŕňajúcimi malvérovú rodinu SPAWN.
