DslogdRAT Kötü Amaçlı Yazılım
2024'ün sonunda, siber güvenlik uzmanları, tehlikeye atılmış Ivanti Connect Secure (ICS) cihazlarına yüklenen DslogdRAT adlı yeni bir Uzaktan Erişim Truva Atı'nı (RAT) ortaya çıkardı. Tehdit aktörleri, kimliği doğrulanmamış uzaktan kod yürütülmesine izin veren CVE-2025-0282 olarak izlenen kritik bir sıfır günlük güvenlik açığını istismar etti. Ivanti, bu güvenlik açığını Ocak 2025'in başında ele aldı, ancak Japonya'daki kuruluşlar çoktan seçilmişti.
İçindekiler
Kapıyı Kırmak: Web Kabuğu Üzerinden İlk Erişim
Saldırganların ilk hamlesi, CGI betiği olarak gizlenmiş hafif, Perl tabanlı bir web kabuğu dağıtmaktı. Bu arka kapı, komutları yürütmeden önce belirli bir çerez değeri olan DSAUTOKEN=af95380019083db5 için kontrol edildi. Bu erişim sayesinde saldırganlar, özellikle DslogdRAT olmak üzere daha fazla kötü amaçlı yazılım başlatabildiler.
Radar Altında: DslogdRAT’ın Çok Aşamalı Saldırı Akışı
DslogdRAT, tespit edilmekten kaçınmak için akıllı, çok aşamalı bir süreçle çalışır:
Aşama 1: Birincil işlem, yapılandırma verilerini çözümlemekten ve ikinci bir çekirdek işlemi başlatmaktan sorumlu bir alt işlemi başlatır.
Aşama 2: Kalıcı bir ana süreç aktif kalır ve tespit riskini en aza indirmek için uyku aralıklarını dahil eder.
Aşama 3: İkinci alt süreç, sistem iletişimi ve komut yürütme dahil olmak üzere temel RAT işlevlerini başlatır.
Bu mimari, dayanıklılık ve gizliliği garanti altına alarak, savunmacıların kötü amaçlı yazılımı ortaya çıkarmasını ve sonlandırmasını zorlaştırır.
Gizli Konuşmalar: Özel İletişim Teknikleri
Komuta ve Kontrol (C2) sunucusuyla iletişim, özel bir XOR tabanlı kodlama şeması kullanılarak soketler aracılığıyla gerçekleşir. Kodlanan mesajlar kritik sistem parmak izlerini içerir ve sıkı bir iletişim biçimine uyar.
DslogdRAT birkaç önemli işlevi destekler:
- Dosya yükleme ve indirme
- Kabuk komut yürütme
- Kötü amaçlı trafiği yönlendirmek için proxy kurulumu
Bu yetenekler saldırganların enfekte sistemler üzerinde sıkı bir kontrol sağlamalarına ve ağlara daha derinlemesine nüfuz etmelerine olanak tanır.
Sadece İş Saatleri: Tespit Edilmekten Kaçınmak İçin Akıllı Taktikler
DslogdRAT'ın alışılmadık bir özelliği, yerleşik operasyonel takvimidir: yalnızca sabah 8:00 ile akşam 8:00 arasında çalışır. Bu saatler dışında, uykuda kalır, standart kullanıcı etkinlik modellerini taklit eder ve mesai saatleri dışında tespit edilme riskini en aza indirir.
Birden Fazla Tehdit: SPAWNSNARE’in Keşfi
DslogdRAT'ın yanı sıra, etkilenen sistemlerde SPAWNSNARE adlı başka bir kötü amaçlı yazılım bulundu. Bu kötü amaçlı yazılımların aynı kampanyanın parçası mı yoksa doğrudan UNC5221 grubuyla mı bağlantılı olduğu belirsizliğini korurken, aynı anda bulunmaları karmaşık tehdit aktörleri tarafından koordineli faaliyetlere işaret ediyor.
Büyüyen Bir Tehdit: 2025’te Yeni Saldırılar
Nisan 2025'te güvenlik araştırmacıları, CVE-2025-22457 adlı başka bir güvenlik açığının da kötü amaçlı yazılım dağıtmak için silahlandırıldığını ortaya çıkardı. Bu yeni kampanya, Çinli bir bilgisayar korsanlığı grubu olduğuna inanılan UNC5221'e atfedildi. Ancak uzmanlar, bu etkinliğin SPAWN kötü amaçlı yazılım ailesini içeren önceki saldırılarla bağlantılı olup olmadığını hâlâ araştırıyor.
