DslogdRAT Malware
Sa pagtatapos ng 2024, natuklasan ng mga eksperto sa cybersecurity ang isang bagong Remote AccesTrojan (RAT) na tinatawag na DslogdRAT, na naka-install sa mga nakompromisong Ivanti Connect Secure (ICS) na device. Sinamantala ng mga banta ng aktor ang isang kritikal na zero-day na kahinaan, na sinusubaybayan bilang CVE-2025-0282, na nagpapahintulot sa hindi napatotohanan na pagpapatupad ng remote code. Tinalakay ni Ivanti ang kahinaang ito sa simula ng Enero 2025, ngunit hindi pa bago ang mga organisasyon sa Japan ay napili na.
Talaan ng mga Nilalaman
Pag-crack sa Pinto: Paunang Pag-access sa pamamagitan ng Web Shell
Ang unang hakbang ng mga umaatake ay nagsasangkot ng pag-deploy ng isang magaan, Perl-based na web shell na itinago bilang isang CGI script. Ang backdoor na ito ay sinuri para sa isang partikular na halaga ng cookie, DSAUTOKEN=af95380019083db5, bago magsagawa ng mga utos. Sa pamamagitan ng pag-access na ito, ang mga umaatake ay nakapaglunsad ng karagdagang malware, lalo na ang DslogdRAT.
Sa ilalim ng Radar: Daloy ng Pag-atake ng Multi-Stage ng DslogdRAT
Gumagana ang DslogdRAT sa pamamagitan ng isang matalino, maraming yugto na proseso upang maiwasan ang pagtuklas:
Stage 1: Ang pangunahing proseso ay nagbubunga ng proseso ng bata na responsable para sa pag-decode ng data ng configuration at paglulunsad ng pangalawang pangunahing proseso.
Stage 2: Ang patuloy na proseso ng magulang ay nananatiling aktibo, na nagsasama ng mga agwat ng pagtulog upang mabawasan ang panganib sa pag-detect.
Stage 3: Ang pangalawang proseso ng bata ay nagpapasimula ng mga pangunahing RAT functionality, kabilang ang system communication at command execution.
Ang arkitektura na ito ay ginagarantiyahan ang katatagan at pagiging stealthiness, na ginagawang hamon para sa mga tagapagtanggol na matuklasan at wakasan ang malware.
Mga Lihim na Pag-uusap: Mga Custom na Teknik sa Komunikasyon
Ang komunikasyon sa Command-and-Control (C2) server ay nangyayari sa pamamagitan ng mga socket, gamit ang custom na XOR-based na encoding scheme. Kasama sa mga naka-encode na mensahe ang mga kritikal na fingerprint ng system at sumusunod sa isang mahigpit na format ng komunikasyon.
Sinusuportahan ng DslogdRAT ang ilang pangunahing pag-andar:
- Pag-upload at pag-download ng file
- Pagpapatupad ng utos ng Shell
- Pag-setup ng proxy upang iruta ang nakakahamak na trapiko
Ang mga kakayahang ito ay nagbibigay-daan sa mga umaatake na mapanatili ang matatag na kontrol sa mga nahawaang system at mag-pivot nang mas malalim sa mga network.
Mga Oras Lang ng Negosyo: Mga Matalinong Taktika para Iwasan ang Detection
Ang isang hindi pangkaraniwang tampok ng DslogdRAT ay ang built-in na iskedyul ng pagpapatakbo: ito ay tumatakbo lamang sa pagitan ng 8:00 AM at 8:00 PM. Sa labas ng mga oras na ito, nananatili itong tulog, na ginagaya ang mga karaniwang pattern ng aktibidad ng user at pinapaliit ang panganib ng pagtuklas sa mga oras na wala sa oras.
Higit sa Isang Banta: Pagtuklas ng SPAWNSNARE
Sa tabi ng DslogdRAT, isa pang malware na pinangalanang SPAWNSNARE ang natagpuan sa mga apektadong system. Bagama't nananatiling hindi malinaw kung ang malware na ito ay bahagi ng parehong kampanya o direktang nakatali sa pangkat na UNC5221, ang kanilang sabay-sabay na presensya ay nagpapahiwatig ng mga pinag-ugnay na aktibidad ng mga sopistikadong aktor ng pagbabanta.
Isang Lumalagong Banta: Mga Bagong Pagsasamantala sa 2025
Noong Abril 2025, inihayag ng mga mananaliksik sa seguridad na ang isa pang kahinaan, ang CVE-2025-22457, ay ginawan din ng sandata upang mag-deploy ng malware. Ang mas bagong campaign na ito ay naiugnay sa UNC5221, na pinaniniwalaang isang Chinese hacking group. Gayunpaman, sinisiyasat pa rin ng mga eksperto kung ang aktibidad na ito ay konektado sa mga naunang pag-atake na kinasasangkutan ng pamilya ng SPAWN malware.
