Шкідливе програмне забезпечення DslogdRAT
Наприкінці 2024 року експерти з кібербезпеки виявили новий троян віддаленого доступу (RAT) під назвою DslogdRAT, встановлений на скомпрометованих пристроях Ivanti Connect Secure (ICS). Зловмисники використовували критичну вразливість нульового дня, що відстежувалася як CVE-2025-0282, яка дозволяла неавтентифіковане віддалене виконання коду. Ivanti вирішила цю вразливість на початку січня 2025 року, але перед цим вже були відібрані організації в Японії.
Зміст
Зламування дверей: початковий доступ через веб-оболонку
Першим кроком зловмисників було розгортання легкої веб-оболочки на основі Perl, замаскованої під CGI-скрипт. Цей бекдор перевірявся на наявність певного значення cookie, DSAUTOKEN=af95380019083db5, перед виконанням команд. Завдяки цьому доступу зловмисники змогли запускати подальше шкідливе програмне забезпечення, зокрема DslogdRAT.
Під радар: багатоетапний потік атаки DslogdRAT
DslogdRAT працює за допомогою розумного багатоетапного процесу, щоб уникнути виявлення:
Етап 1: Основний процес породжує дочірній процес, відповідальний за декодування даних конфігурації та запуск другого основного процесу.
Етап 2: Постійний батьківський процес залишається активним, включаючи інтервали сну для мінімізації ризику виявлення.
Етап 3: Другий дочірній процес ініціює основні функції RAT, включаючи системний зв'язок та виконання команд.
Така архітектура гарантує стійкість та прихованість, що ускладнює для захисників виявлення та знищення шкідливого програмного забезпечення.
Секретні розмови: індивідуальні методи спілкування
Зв'язок із сервером командування та управління (C2) відбувається через сокети з використанням спеціальної схеми кодування на основі XOR. Закодовані повідомлення містять критичні системні відбитки та дотримуються суворого формату зв'язку.
DslogdRAT підтримує кілька ключових функцій:
- Завантаження та вивантаження файлів
- Виконання команди оболонки
- Налаштування проксі-сервера для маршрутизації шкідливого трафіку
Ці можливості дозволяють зловмисникам підтримувати надійний контроль над зараженими системами та проникати глибше в мережі.
Тільки в робочий час: розумні тактики, щоб уникнути виявлення
Незвичайною особливістю DslogdRAT є його вбудований графік роботи: він працює лише з 8:00 до 20:00. Поза цими годинами він залишається в неактивному стані, імітуючи стандартні моделі активності користувачів та мінімізуючи ризик виявлення в неробочий час.
Більше ніж одна загроза: відкриття SPAWNSNARE
Поряд із DslogdRAT, на уражених системах було виявлено ще одне шкідливе програмне забезпечення під назвою SPAWNSNARE. Хоча залишається незрозумілим, чи є ці шкідливі програми частиною однієї кампанії, чи безпосередньо пов'язані з групою UNC5221, їхня одночасна присутність натякає на скоординовані дії складних зловмисників.
Зростаюча загроза: нові експлойти у 2025 році
У квітні 2025 року дослідники з безпеки виявили, що інша вразливість, CVE-2025-22457, також була використана для розгортання шкідливого програмного забезпечення. Цю нову кампанію приписують UNC5221, яка, як вважається, належить китайській хакерській групі. Однак експерти все ще з'ясовують, чи пов'язана ця активність з попередніми атаками, що включали шкідливе програмне забезпечення сімейства SPAWN.
