DslogdRAT Malware
Në fund të vitit 2024, ekspertët e sigurisë kibernetike zbuluan një Remote AccessTrojan (RAT) të ri të quajtur DslogdRAT, të instaluar në pajisjet e kompromentuara Ivanti Connect Secure (ICS). Aktorët kërcënues shfrytëzuan një dobësi kritike zero-day, të gjurmuar si CVE-2025-0282, e cila lejoi ekzekutimin e kodit në distancë të paautorizuar. Ivanti e trajtoi këtë dobësi në fillim të janarit 2025, por jo para se organizatat në Japoni të ishin përzgjedhur tashmë.
Tabela e Përmbajtjes
Hapja e Derës: Qasja Fillestare përmes Web Shell
Lëvizja e parë e sulmuesve përfshinte vendosjen e një shell-i web të lehtë, të bazuar në Perl, të maskuar si një skript CGI. Ky derë e pasme u kontrollua për një vlerë specifike të cookie-t, DSAUTOKEN=af95380019083db5, përpara se të ekzekutoheshin komandat. Përmes këtij aksesi, sulmuesit ishin në gjendje të lëshonin programe të mëtejshme keqdashëse, veçanërisht DslogdRAT.
Nën Radar: Rrjedha e Sulmit Shumëfazor të DslogdRAT
DslogdRAT operon përmes një procesi të zgjuar, shumëfazor për të shmangur zbulimin:
Faza 1: Procesi primar krijon një proces fëmijë përgjegjës për dekodimin e të dhënave të konfigurimit dhe nisjen e një procesi të dytë thelbësor.
Faza 2: Një proces prind i vazhdueshëm mbetet aktiv, duke përfshirë intervale gjumi për të minimizuar rrezikun e zbulimit.
Faza 3: Procesi i dytë fëmijë fillon funksionalitetet kryesore të RAT, duke përfshirë komunikimin e sistemit dhe ekzekutimin e komandave.
Kjo arkitekturë garanton qëndrueshmëri dhe fshehtësi, duke e bërë të vështirë për mbrojtësit zbulimin dhe eliminimin e programeve keqdashëse.
Biseda Sekrete: Teknika Komunikimi të Personalizuara
Komunikimi me serverin Command-and-Control (C2) ndodh nëpërmjet socket-eve, duke përdorur një skemë kodimi të personalizuar të bazuar në XOR. Mesazhet e koduara përfshijnë gjurmë gishtash kritike të sistemit dhe i përmbahen një formati të rreptë komunikimi.
DslogdRAT mbështet disa funksione kryesore:
- Ngarkimi dhe shkarkimi i skedarëve
- Ekzekutimi i komandës Shell
- Konfigurimi i proxy-t për të drejtuar trafikun keqdashës
Këto aftësi u lejojnë sulmuesve të ruajnë kontroll të fortë mbi sistemet e infektuara dhe të futen më thellë në rrjete.
Vetëm Orari i Punës: Taktika të Zgjuara për të Shmangur Zbulimin
Një veçori e pazakontë e DslogdRAT është orari i tij i integruar operativ: ai funksionon vetëm midis orës 8:00 të mëngjesit dhe 8:00 të mbrëmjes. Jashtë këtyre orareve, ai qëndron i fjetur, duke imituar modelet standarde të aktivitetit të përdoruesit dhe duke minimizuar rrezikun e zbulimit gjatë orarit të lirë.
Më shumë se një kërcënim: Zbulimi i SPAWNSNARE
Krahas DslogdRAT, në sistemet e prekura u gjet një tjetër malware i quajtur SPAWNSNARE. Ndërsa mbetet e paqartë nëse këto malware janë pjesë e së njëjtës fushatë apo të lidhura drejtpërdrejt me grupin UNC5221, prania e tyre e njëkohshme lë të kuptohet për aktivitete të koordinuara nga aktorë kërcënues të sofistikuar.
Një kërcënim në rritje: Shfrytëzime të reja në vitin 2025
Në prill të vitit 2025, studiuesit e sigurisë zbuluan se një tjetër dobësi, CVE-2025-22457, ishte përdorur gjithashtu si armë për të vendosur programe keqdashëse. Kjo fushatë më e re i është atribuar UNC5221, që besohet të jetë një grup kinez hakerash. Megjithatë, ekspertët ende po hetojnë nëse ky aktivitet është i lidhur me sulmet e mëparshme që përfshinin familjen e programeve keqdashëse SPAWN.
