DslogdRAT தீம்பொருள்

2024 ஆம் ஆண்டின் இறுதியில், சைபர் பாதுகாப்பு நிபுணர்கள், DslogdRAT என அழைக்கப்படும் புதிய ரிமோட் ஆக்செஸ்ட்ரோஜன் (RAT) ஒன்றைக் கண்டுபிடித்தனர், இது சமரசம் செய்யப்பட்ட Ivanti Connect Secure (ICS) சாதனங்களில் நிறுவப்பட்டது. அச்சுறுத்தல் செய்பவர்கள் CVE-2025-0282 எனக் கண்காணிக்கப்படும் ஒரு முக்கியமான பூஜ்ஜிய-நாள் பாதிப்பைப் பயன்படுத்திக் கொண்டனர், இது அங்கீகரிக்கப்படாத ரிமோட் குறியீடு செயல்படுத்தலை அனுமதித்தது. ஜனவரி 2025 தொடக்கத்தில் Ivanti இந்தப் பாதிப்பைச் சமாளித்தது, ஆனால் ஜப்பானில் உள்ள நிறுவனங்கள் ஏற்கனவே தேர்ந்தெடுக்கப்படுவதற்கு முன்பே.

கதவை உடைத்தல்: வலை ஷெல் மூலம் ஆரம்ப அணுகல்

தாக்குபவர்களின் முதல் நடவடிக்கை, CGI ஸ்கிரிப்ட் போல மாறுவேடமிட்ட இலகுரக, பெர்ல் அடிப்படையிலான வலை ஷெல்லை நிறுவுவதாகும். கட்டளைகளை இயக்குவதற்கு முன்பு, இந்த பின்புற கதவு DSAUTOKEN=af95380019083db5 என்ற குறிப்பிட்ட குக்கீ மதிப்பிற்காக சரிபார்க்கப்பட்டது. இந்த அணுகல் மூலம், தாக்குபவர்கள் மேலும் தீம்பொருளை, குறிப்பாக DslogdRAT ஐத் தொடங்க முடிந்தது.

ரேடாரின் கீழ்: DslogdRAT இன் பல-நிலை தாக்குதல் ஓட்டம்

கண்டறிதலைத் தவிர்ப்பதற்காக DslogdRAT ஒரு புத்திசாலித்தனமான, பல-நிலை செயல்முறை மூலம் செயல்படுகிறது:

நிலை 1: முதன்மை செயல்முறை, உள்ளமைவுத் தரவை டிகோட் செய்து இரண்டாவது முக்கிய செயல்முறையைத் தொடங்குவதற்குப் பொறுப்பான ஒரு குழந்தை செயல்முறையை உருவாக்குகிறது.

நிலை 2: கண்டறிதல் அபாயத்தைக் குறைக்க தூக்க இடைவெளிகளை உள்ளடக்கிய ஒரு தொடர்ச்சியான பெற்றோர் செயல்முறை செயலில் உள்ளது.

நிலை 3: இரண்டாவது துணை செயல்முறை, கணினி தொடர்பு மற்றும் கட்டளை செயல்படுத்தல் உள்ளிட்ட முக்கிய RAT செயல்பாடுகளைத் தொடங்குகிறது.

இந்த கட்டமைப்பு மீள்தன்மை மற்றும் திருட்டுத்தனத்தை உறுதி செய்கிறது, இதனால் பாதுகாவலர்களுக்கு தீம்பொருளைக் கண்டுபிடித்து நிறுத்துவது சவாலானது.

ரகசிய உரையாடல்கள்: தனிப்பயன் தொடர்பு நுட்பங்கள்

கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடனான தொடர்பு, தனிப்பயன் XOR- அடிப்படையிலான குறியாக்கத் திட்டத்தைப் பயன்படுத்தி சாக்கெட்டுகள் வழியாக நிகழ்கிறது. குறியாக்கம் செய்யப்பட்ட செய்திகள் முக்கியமான கணினி கைரேகைகளை உள்ளடக்கியது மற்றும் கண்டிப்பான தொடர்பு வடிவமைப்பைக் கடைப்பிடிக்கின்றன.

DslogdRAT பல முக்கிய செயல்பாடுகளை ஆதரிக்கிறது:

• கோப்பு பதிவேற்றம் மற்றும் பதிவிறக்கம்
• ஷெல் கட்டளை செயல்படுத்தல்
• தீங்கிழைக்கும் போக்குவரத்தை வழிநடத்த ப்ராக்ஸி அமைப்பு

இந்தத் திறன்கள், தாக்குபவர்கள் பாதிக்கப்பட்ட அமைப்புகளின் மீது உறுதியான கட்டுப்பாட்டைப் பராமரிக்கவும், நெட்வொர்க்குகளுக்குள் ஆழமாகச் செல்லவும் அனுமதிக்கின்றன.

வணிக நேரங்கள் மட்டும்: கண்டறிதலைத் தவிர்ப்பதற்கான புத்திசாலித்தனமான தந்திரோபாயங்கள்

DslogdRAT இன் அசாதாரண அம்சம் அதன் உள்ளமைக்கப்பட்ட செயல்பாட்டு அட்டவணை: இது காலை 8:00 மணி முதல் இரவு 8:00 மணி வரை மட்டுமே இயங்கும். இந்த நேரங்களுக்கு வெளியே, இது செயலற்ற நிலையில் இருக்கும், நிலையான பயனர் செயல்பாட்டு முறைகளைப் பிரதிபலிக்கிறது மற்றும் ஆஃப்-ஹவர்ஸில் கண்டறியும் அபாயத்தைக் குறைக்கிறது.

ஒன்றுக்கு மேற்பட்ட அச்சுறுத்தல்கள்: SPAWNSNARE கண்டுபிடிப்பு

பாதிக்கப்பட்ட கணினிகளில் DslogdRAT உடன், SPAWNSNARE என்ற மற்றொரு தீம்பொருள் கண்டறியப்பட்டது. இந்த தீம்பொருள்கள் ஒரே பிரச்சாரத்தின் ஒரு பகுதியாக உள்ளதா அல்லது UNC5221 குழுவுடன் நேரடியாக தொடர்புடையதா என்பது தெளிவாகத் தெரியவில்லை என்றாலும், அவற்றின் ஒரே நேரத்தில் இருப்பது அதிநவீன அச்சுறுத்தல் நடிகர்களின் ஒருங்கிணைந்த செயல்பாடுகளைக் குறிக்கிறது.

வளர்ந்து வரும் அச்சுறுத்தல்: 2025 இல் புதிய சுரண்டல்கள்

ஏப்ரல் 2025 இல், பாதுகாப்பு ஆராய்ச்சியாளர்கள் மற்றொரு பாதிப்புக்குள்ளான CVE-2025-22457, தீம்பொருளைப் பயன்படுத்த ஆயுதம் ஏந்தியிருப்பதை வெளிப்படுத்தினர். இந்தப் புதிய பிரச்சாரம் UNC5221 உடன் தொடர்புடையதாகக் கூறப்படுகிறது, இது ஒரு சீன ஹேக்கிங் குழுவாக நம்பப்படுகிறது. இருப்பினும், இந்த செயல்பாடு SPAWN தீம்பொருள் குடும்பத்தை உள்ளடக்கிய முந்தைய தாக்குதல்களுடன் தொடர்புடையதா என்பதை நிபுணர்கள் இன்னும் ஆராய்ந்து வருகின்றனர்.