Rabattoffert för flera licenser
Hotdatabas Skadlig programvara DslogdRAT-skadlig programvara

DslogdRAT-skadlig programvara

Med Mezo år Skadlig programvara
Översätt till:
Svenska

I slutet av 2024 upptäckte cybersäkerhetsexperter en ny Remote AccesTrojan (RAT) kallad DslogdRAT, installerad på komprometterade Ivanti Connect Secure (ICS)-enheter. Hotaktörer utnyttjade en kritisk nolldagarssårbarhet, spårad som CVE-2025-0282, som möjliggjorde oautentiserad fjärrkörning av kod. Ivanti åtgärdade denna sårbarhet i början av januari 2025, men inte innan organisationer i Japan redan hade valts ut.

Att knäcka dörren: Initial åtkomst via Web Shell

Angriparnas första drag innebar att driftsätta ett lättviktigt, Perl-baserat webbskal förklätt som ett CGI-skript. Denna bakdörr kontrollerades för ett specifikt cookievärde, DSAUTOKEN=af95380019083db5, innan kommandon kördes. Genom denna åtkomst kunde angriparna lansera ytterligare skadlig kod, särskilt DslogdRAT.

Under radarn: DslogdRATs flerstegsattackflöde

DslogdRAT fungerar genom en smart process i flera steg för att undvika upptäckt:

Steg 1: Den primära processen skapar en underprocess som ansvarar för att avkoda konfigurationsdata och starta en andra kärnprocess.

Steg 2: En ihållande föräldraprocess förblir aktiv och inkluderar sömnintervaller för att minimera detektionsrisken.

Steg 3: Den andra underprocessen initierar centrala RAT-funktioner, inklusive systemkommunikation och kommandokörning.

Denna arkitektur garanterar motståndskraft och smygsäkerhet, vilket gör det svårt för försvarare att upptäcka och avsluta skadlig kod.

Hemliga samtal: Anpassade kommunikationstekniker

Kommunikation med Command-and-Control (C2)-servern sker via sockets med hjälp av ett anpassat XOR-baserat kodningsschema. De kodade meddelandena innehåller kritiska systemfingeravtryck och följer ett strikt kommunikationsformat.

DslogdRAT stöder flera viktiga funktioner:

  • Filuppladdning och nedladdning
  • Shell-kommandokörning
  • Proxykonfiguration för att dirigera skadlig trafik

Dessa funktioner gör det möjligt för angripare att behålla fast kontroll över infekterade system och tränga djupare in i nätverk.

Endast öppettider: Smarta taktiker för att undvika upptäckt

En ovanlig funktion hos DslogdRAT är dess inbyggda driftsschema: det körs bara mellan 8:00 och 20:00. Utanför dessa tider förblir det vilande, vilket imiterar vanliga användaraktivitetsmönster och minimerar risken för upptäckt utanför arbetstid.

Mer än ett hot: Upptäckten av SPAWNSNARE

Vid sidan av DslogdRAT hittades ytterligare en skadlig kod vid namn SPAWNSNARE på drabbade system. Även om det fortfarande är oklart om dessa skadliga program är en del av samma kampanj eller direkt kopplade till gruppen UNC5221, tyder deras samtidiga närvaro på samordnade aktiviteter av sofistikerade hotaktörer.

Ett växande hot: Nya exploateringar år 2025

I april 2025 avslöjade säkerhetsforskare att en annan sårbarhet, CVE-2025-22457, också hade använts som ett vapen för att distribuera skadlig kod. Denna nyare kampanj har tillskrivits UNC5221, som tros vara en kinesisk hackergrupp. Experter undersöker dock fortfarande om denna aktivitet är kopplad till de tidigare attackerna som involverade SPAWN-familjen av skadlig kod.

 

 

 

Trendigt

Mest sedda

Läser in...