Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema DslogdRAT

Zlonamerna programska oprema DslogdRAT

Do leta Mezo leta Zlonamerna programska oprema
Prevedi v:
Slovenščina

Konec leta 2024 so strokovnjaki za kibernetsko varnost odkrili nov trojanski konj za oddaljeni dostop (RAT), imenovan DslogdRAT, ki je bil nameščen na ogroženih napravah Ivanti Connect Secure (ICS). Grožnje so izkoristile kritično ranljivost ničelnega dne, označeno kot CVE-2025-0282, ki je omogočala neovirano oddaljeno izvajanje kode. Ivanti je to ranljivost odpravil v začetku januarja 2025, vendar šele po tem, ko so bile izbrane organizacije na Japonskem.

Odpiranje vrat: Začetni dostop prek spletne lupine

Prva poteza napadalcev je bila namestitev lahke spletne lupine, ki temelji na Perlu in je bila prikrita kot skript CGI. Pred izvajanjem ukazov so ta zadnja vrata preverili glede določene vrednosti piškotka, DSAUTOKEN=af95380019083db5. S tem dostopom so napadalci lahko zagnali nadaljnjo zlonamerno programsko opremo, zlasti DslogdRAT.

Pod radarjem: Večstopenjski napadalni tok DslogdRAT-a

DslogdRAT deluje po pametnem, večstopenjskem postopku, da se izogne odkrivanju:

1. faza: Primarni proces ustvari podrejeni proces, ki je odgovoren za dekodiranje konfiguracijskih podatkov in zagon drugega osrednjega procesa.

2. faza: Vztrajni nadrejeni proces ostane aktiven in vključuje intervale spanja, da se zmanjša tveganje zaznavanja.

3. faza: Drugi podrejeni proces sproži osnovne funkcionalnosti RAT, vključno s komunikacijo sistema in izvajanjem ukazov.

Ta arhitektura zagotavlja odpornost in prikritost, zaradi česar je zagovornikom težko odkriti in uničiti zlonamerno programsko opremo.

Skrivni pogovori: Tehnike komunikacije po meri

Komunikacija s strežnikom Command-and-Control (C2) poteka prek vtičnic z uporabo prilagojene sheme kodiranja, ki temelji na XOR. Kodirana sporočila vključujejo ključne sistemske prstne odtise in se držijo strogega komunikacijskega formata.

DslogdRAT podpira več ključnih funkcionalnosti:

  • Nalaganje in prenos datotek
  • Izvajanje ukaza lupine
  • Nastavitev proxyja za usmerjanje zlonamernega prometa

Te zmogljivosti napadalcem omogočajo, da ohranijo trden nadzor nad okuženimi sistemi in prodrejo globlje v omrežja.

Samo v delovnem času: Pametne taktike za izogibanje odkrivanju

Nenavadna lastnost programa DslogdRAT je njegov vgrajeni urnik delovanja: deluje le med 8.00 in 20.00. Izven teh ur miruje, posnema standardne vzorce uporabniških dejavnosti in zmanjšuje tveganje za odkritje izven delovnega časa.

Več kot ena grožnja: Odkritje SPAWNSNARE

Poleg DslogdRAT je bila na prizadetih sistemih najdena še ena zlonamerna programska oprema z imenom SPAWNSNARE. Čeprav ni jasno, ali je ta zlonamerna programska oprema del iste kampanje ali je neposredno povezana s skupino UNC5221, njihova sočasna prisotnost nakazuje na usklajene dejavnosti sofisticiranih akterjev groženj.

Naraščajoča grožnja: Nove zlorabe v letu 2025

Aprila 2025 so varnostni raziskovalci razkrili, da je bila za nameščanje zlonamerne programske opreme uporabljena še ena ranljivost, CVE-2025-22457. Ta novejša kampanja je bila pripisana UNC5221, za katero velja, da je kitajska hekerska skupina. Vendar strokovnjaki še vedno preiskujejo, ali je ta dejavnost povezana s prejšnjimi napadi, v katere je bila vpletena družina zlonamerne programske opreme SPAWN.

 

 

 

V trendu

Vaša shramba v oblaku je popolna e-poštna prevara

Lažno predstavljanje, Neželena pošta
Internet je bistveni del sodobnega življenja, vendar je tudi gojišče taktiziranja. Kibernetski kriminalci nenehno razvijajo nove taktike za zavajanje uporabnikov, zato je ključnega pomena, da ostanete pozorni. Ena takšnih goljufivih shem je e-poštna prevara z naslovom »Vaša shramba v oblaku je polna«. Ta goljufiva kampanja manipulira z uporabniki, da verjamejo, da je njihova shramba v oblaku...

Najbolj gledan

Nalaganje...