Злонамерни софтвер DslogdRAT
Крајем 2024. године, стручњаци за сајбер безбедност открили су нови тројански коњ са удаљеним приступом (RAT) назван DslogdRAT, инсталиран на компромитованим Ivanti Connect Secure (ICS) уређајима. Претње су искористиле критичну рањивост нултог дана, праћену као CVE-2025-0282, која је омогућавала неаутентификовано даљинско извршавање кода. Ivanti је решио ову рањивост почетком јануара 2025. године, али не пре него што су организације у Јапану већ биле изабране.
Преглед садржаја
Отварање врата: Почетни приступ путем веб шкољке
Први потез нападача укључивао је постављање лагане веб шкољке засноване на Perl-у, прерушене у CGI скрипту. Овај задњи улаз је провераван на одређену вредност колачића, DSAUTOKEN=af95380019083db5, пре извршавања команди. Кроз овај приступ, нападачи су могли да покрену додатни малвер, посебно DslogdRAT.
Испод радара: DslogdRAT-ов вишестепени ток напада
DslogdRAT функционише кроз паметан, вишестепени процес како би избегао откривање:
Фаза 1: Примарни процес ствара подпроцес који је одговоран за декодирање конфигурационих података и покретање другог основног процеса.
Фаза 2: Перзистентни родитељски процес остаје активан, укључујући интервале спавања како би се минимизирао ризик од откривања.
Фаза 3: Други подређени процес покреће основне RAT функционалности, укључујући комуникацију система и извршавање команди.
Ова архитектура гарантује отпорност и прикривеност, што отежава браниоцима да открију и униште злонамерни софтвер.
Тајни разговори: Прилагођене технике комуникације
Комуникација са командно-контролним (C2) сервером одвија се путем сокета, користећи прилагођену шему кодирања засновану на XOR операцији. Кодиране поруке укључују критичне системске отиске прстију и придржавају се строгог комуникационог формата.
DslogdRAT подржава неколико кључних функционалности:
- Отпремање и преузимање датотека
- Извршавање команде шкољке
- Подешавање проксија за усмеравање злонамерног саобраћаја
Ове могућности омогућавају нападачима да одрже чврсту контролу над зараженим системима и да продру дубље у мреже.
Само радно време: Паметне тактике за избегавање откривања
Необична карактеристика DslogdRAT-а је његов уграђени оперативни распоред: ради само између 8:00 и 20:00 часова. Ван ових сати, остаје неактиван, опонашајући стандардне обрасце активности корисника и минимизирајући ризик од откривања ван радног времена.
Више од једне претње: Откриће SPAWNSNARE-а
Уз DslogdRAT, на погођеним системима је пронађен још један злонамерни софтвер под називом SPAWNSNARE. Иако остаје нејасно да ли су ови злонамерни софтвери део исте кампање или су директно повезани са групом UNC5221, њихово истовремено присуство указује на координисане активности софистицираних претњи.
Растућа претња: Нови експлоати у 2025. години
У априлу 2025. године, истраживачи безбедности открили су да је још једна рањивост, CVE-2025-22457, такође коришћена за постављање злонамерног софтвера. Ова новија кампања приписана је UNC5221, за коју се верује да је кинеска хакерска група. Међутим, стручњаци још увек истражују да ли је ова активност повезана са ранијим нападима који укључују породицу злонамерних програма SPAWN.
