DslogdRAT మాల్వేర్

2024 చివరిలో, సైబర్ భద్రతా నిపుణులు DslogdRAT గా పిలువబడే కొత్త రిమోట్ యాక్సెస్ ట్రోజన్ (RAT)ను కనుగొన్నారు, ఇది రాజీపడిన Ivanti Connect Secure (ICS) పరికరాల్లో ఇన్‌స్టాల్ చేయబడింది. బెదిరింపు నటులు CVE-2025-0282గా ట్రాక్ చేయబడిన కీలకమైన జీరో-డే దుర్బలత్వాన్ని ఉపయోగించుకున్నారు, ఇది ప్రామాణీకరించని రిమోట్ కోడ్ అమలును అనుమతించింది. Ivanti జనవరి 2025 ప్రారంభంలో ఈ దుర్బలత్వాన్ని పరిష్కరించింది, కానీ జపాన్‌లోని సంస్థలు ఇప్పటికే ఎంపిక చేయబడటానికి ముందే.

తలుపు పగలగొట్టడం: వెబ్ షెల్ ద్వారా ప్రారంభ యాక్సెస్

దాడి చేసేవారి మొదటి చర్యలో CGI స్క్రిప్ట్ వలె మారువేషంలో తేలికైన, పెర్ల్-ఆధారిత వెబ్ షెల్‌ను అమలు చేయడం జరిగింది. ఆదేశాలను అమలు చేయడానికి ముందు ఈ బ్యాక్‌డోర్ నిర్దిష్ట కుకీ విలువ DSAUTOKEN=af95380019083db5 కోసం తనిఖీ చేయబడింది. ఈ యాక్సెస్ ద్వారా, దాడి చేసేవారు మరిన్ని మాల్వేర్‌లను, ముఖ్యంగా DslogdRATను ప్రారంభించగలిగారు.

రాడార్ కింద: DslogdRAT యొక్క బహుళ-దశల దాడి ప్రవాహం

గుర్తింపును తప్పించుకోవడానికి DslogdRAT ఒక తెలివైన, బహుళ-దశల ప్రక్రియ ద్వారా పనిచేస్తుంది:

దశ 1: ప్రాథమిక ప్రక్రియ కాన్ఫిగరేషన్ డేటాను డీకోడ్ చేయడానికి మరియు రెండవ కోర్ ప్రక్రియను ప్రారంభించడానికి బాధ్యత వహించే చైల్డ్ ప్రాసెస్‌ను ఉత్పత్తి చేస్తుంది.

దశ 2: గుర్తింపు ప్రమాదాన్ని తగ్గించడానికి నిద్ర విరామాలను కలుపుకొని నిరంతర తల్లిదండ్రుల ప్రక్రియ చురుకుగా ఉంటుంది.

దశ 3: రెండవ చైల్డ్ ప్రక్రియ సిస్టమ్ కమ్యూనికేషన్ మరియు కమాండ్ ఎగ్జిక్యూషన్‌తో సహా కోర్ RAT కార్యాచరణలను ప్రారంభిస్తుంది.

ఈ నిర్మాణం స్థితిస్థాపకత మరియు దొంగతనానికి హామీ ఇస్తుంది, దీని వలన డిఫెండర్లకు మాల్వేర్‌ను వెలికితీసి అంతం చేయడం సవాలుగా మారుతుంది.

రహస్య సంభాషణలు: కస్టమ్ కమ్యూనికేషన్ టెక్నిక్స్

కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో కమ్యూనికేషన్ సాకెట్ల ద్వారా జరుగుతుంది, కస్టమ్ XOR-ఆధారిత ఎన్‌కోడింగ్ పథకాన్ని ఉపయోగిస్తుంది. ఎన్‌కోడ్ చేయబడిన సందేశాలలో క్లిష్టమైన సిస్టమ్ వేలిముద్రలు ఉంటాయి మరియు కఠినమైన కమ్యూనికేషన్ ఫార్మాట్‌కు కట్టుబడి ఉంటాయి.

DslogdRAT అనేక కీలక కార్యాచరణలకు మద్దతు ఇస్తుంది:

• ఫైల్ అప్‌లోడ్ మరియు డౌన్‌లోడ్
• షెల్ కమాండ్ అమలు
• హానికరమైన ట్రాఫిక్‌ను రూట్ చేయడానికి ప్రాక్సీ సెటప్

ఈ సామర్థ్యాలు దాడి చేసేవారికి సోకిన వ్యవస్థలపై దృఢమైన నియంత్రణను కొనసాగించడానికి మరియు నెట్‌వర్క్‌లలోకి లోతుగా వెళ్లడానికి అనుమతిస్తాయి.

వ్యాపార గంటలు మాత్రమే: గుర్తింపును నివారించడానికి తెలివైన వ్యూహాలు

DslogdRAT యొక్క అసాధారణ లక్షణం దాని అంతర్నిర్మిత కార్యాచరణ షెడ్యూల్: ఇది ఉదయం 8:00 నుండి రాత్రి 8:00 గంటల మధ్య మాత్రమే నడుస్తుంది. ఈ గంటల వెలుపల, ఇది నిద్రాణంగా ఉంటుంది, ప్రామాణిక వినియోగదారు కార్యాచరణ నమూనాలను అనుకరిస్తుంది మరియు ఆఫ్-అవర్స్‌లో గుర్తించే ప్రమాదాన్ని తగ్గిస్తుంది.

ఒకటి కంటే ఎక్కువ ముప్పు: SPAWNSNARE ఆవిష్కరణ

DslogdRAT తో పాటు, ప్రభావిత వ్యవస్థలలో SPAWNSNARE అనే మరో మాల్వేర్ కనుగొనబడింది. ఈ మాల్వేర్లు ఒకే ప్రచారంలో భాగమా లేదా UNC5221 సమూహంతో నేరుగా సంబంధం కలిగి ఉన్నాయా అనేది అస్పష్టంగా ఉన్నప్పటికీ, వాటి ఏకకాల ఉనికి అధునాతన ముప్పు నటుల సమన్వయ కార్యకలాపాలను సూచిస్తుంది.

పెరుగుతున్న ముప్పు: 2025 లో కొత్త దోపిడీలు

ఏప్రిల్ 2025లో, భద్రతా పరిశోధకులు CVE-2025-22457 అనే మరో దుర్బలత్వాన్ని కూడా మాల్వేర్‌ను అమలు చేయడానికి ఆయుధంగా ఉపయోగించారని వెల్లడించారు. ఈ కొత్త ప్రచారం UNC5221కి ఆపాదించబడింది, దీనిని చైనీస్ హ్యాకింగ్ గ్రూప్ అని నమ్ముతారు. అయితే, ఈ కార్యాచరణ SPAWN మాల్వేర్ కుటుంబంతో సంబంధం ఉన్న మునుపటి దాడులకు సంబంధించినదా అని నిపుణులు ఇప్పటికీ పరిశీలిస్తున్నారు.