มัลแวร์ DslogdRAT

ในช่วงปลายปี 2024 ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบ Remote AccesTrojan (RAT) ตัวใหม่ที่มีชื่อว่า DslogdRAT ซึ่งติดตั้งอยู่ในอุปกรณ์ Ivanti Connect Secure (ICS) ที่ถูกบุกรุก ผู้ก่อภัยคุกคามได้ใช้ประโยชน์จากช่องโหว่แบบ zero-day ที่สำคัญ ซึ่งติดตามได้ที่ CVE-2025-0282 ซึ่งทำให้สามารถเรียกใช้โค้ดจากระยะไกลโดยไม่ได้รับการตรวจสอบ Ivanti ได้จัดการกับช่องโหว่นี้เมื่อต้นเดือนมกราคม 2025 แต่ไม่ใช่ก่อนที่องค์กรในญี่ปุ่นจะได้รับการคัดเลือกไปแล้ว

การแคร็กประตู: การเข้าถึงเบื้องต้นผ่านเว็บเชลล์

การโจมตีครั้งแรกของผู้โจมตีเกี่ยวข้องกับการใช้งานเว็บเชลล์แบบน้ำหนักเบาที่ใช้ Perl ซึ่งปลอมตัวเป็นสคริปต์ CGI แบ็กดอร์นี้ได้รับการตรวจสอบค่าคุกกี้เฉพาะ DSAUTOKEN=af95380019083db5 ก่อนที่จะดำเนินการคำสั่ง จากการเข้าถึงนี้ ผู้โจมตีสามารถเปิดใช้งานมัลแวร์เพิ่มเติมได้ โดยเฉพาะ DslogdRAT

ภายใต้เรดาร์: การโจมตีหลายขั้นตอนของ DslogdRAT

DslogdRAT ทำงานผ่านกระบวนการหลายขั้นตอนอันชาญฉลาดเพื่อหลีกเลี่ยงการตรวจจับ:

ขั้นตอนที่ 1: กระบวนการหลักจะสร้างกระบวนการย่อยที่รับผิดชอบในการถอดรหัสข้อมูลการกำหนดค่าและเปิดตัวกระบวนการหลักที่สอง

ขั้นตอนที่ 2: กระบวนการหลักที่คงอยู่ยังคงทำงานอยู่ โดยรวมช่วงเวลาการนอนหลับเพื่อลดความเสี่ยงในการตรวจจับให้เหลือน้อยที่สุด

ขั้นตอนที่ 3: กระบวนการย่อยที่สองจะเริ่มต้นการทำงานหลักของ RAT รวมถึงการสื่อสารของระบบและการดำเนินการคำสั่ง

สถาปัตยกรรมนี้รับประกันความยืดหยุ่นและการซ่อนเร้น ทำให้ผู้ป้องกันต้องเผชิญกับความท้าทายในการค้นหาและยุติมัลแวร์

การสนทนาแบบลับ: เทคนิคการสื่อสารแบบกำหนดเอง

การสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) เกิดขึ้นผ่านซ็อกเก็ต โดยใช้รูปแบบการเข้ารหัสตาม XOR ที่กำหนดเอง ข้อความที่เข้ารหัสจะรวมถึงลายนิ้วมือระบบที่สำคัญและปฏิบัติตามรูปแบบการสื่อสารที่เคร่งครัด

DslogdRAT รองรับฟังก์ชันหลักหลายประการ:

• การอัพโหลดและดาวน์โหลดไฟล์
• การดำเนินการคำสั่งเชลล์
• การตั้งค่าพร็อกซีเพื่อกำหนดเส้นทางการรับส่งข้อมูลที่เป็นอันตราย

ความสามารถเหล่านี้ทำให้ผู้โจมตีสามารถควบคุมระบบที่ติดไวรัสและเจาะลึกเข้าไปในเครือข่ายได้

เวลาทำการเท่านั้น: กลยุทธ์อันชาญฉลาดเพื่อหลีกเลี่ยงการตรวจจับ

คุณลักษณะพิเศษอย่างหนึ่งของ DslogdRAT คือมีตารางการทำงานในตัว โดยจะทำงานเฉพาะระหว่างเวลา 8.00 น. ถึง 20.00 น. เท่านั้น นอกเวลาดังกล่าว ระบบจะนิ่งเฉยโดยเลียนแบบรูปแบบกิจกรรมของผู้ใช้ทั่วไปและลดความเสี่ยงในการตรวจจับในช่วงนอกเวลาทำการให้เหลือน้อยที่สุด

ภัยคุกคามที่มากกว่า 1 อย่าง: การค้นพบ SPAWNSNARE

นอกจาก DslogdRAT แล้ว ยังพบมัลแวร์อีกตัวที่ชื่อ SPAWNSNARE ในระบบที่ได้รับผลกระทบ แม้ว่าจะยังไม่ชัดเจนว่ามัลแวร์เหล่านี้เป็นส่วนหนึ่งของแคมเปญเดียวกันหรือเกี่ยวข้องโดยตรงกับกลุ่ม UNC5221 แต่การมีอยู่พร้อมกันของมัลแวร์เหล่านี้บ่งชี้ว่าผู้ก่อภัยคุกคามที่มีความซับซ้อนมีกิจกรรมที่ประสานงานกัน

ภัยคุกคามที่เพิ่มมากขึ้น: การใช้ประโยชน์ใหม่ในปี 2025

ในเดือนเมษายน 2025 นักวิจัยด้านความปลอดภัยได้เปิดเผยว่าช่องโหว่อีกจุดหนึ่งคือ CVE-2025-22457 ได้ถูกนำไปใช้เป็นอาวุธเพื่อโจมตีมัลแวร์ แคมเปญใหม่นี้ถูกระบุว่าเป็นของ UNC5221 ซึ่งเชื่อว่าเป็นกลุ่มแฮ็กเกอร์ชาวจีน อย่างไรก็ตาม ผู้เชี่ยวชาญยังคงสืบสวนอยู่ว่ากิจกรรมนี้มีความเกี่ยวข้องกับการโจมตีก่อนหน้านี้ที่เกี่ยวข้องกับมัลแวร์ตระกูล SPAWN หรือไม่