Phần mềm độc hại DslogdRAT

Vào cuối năm 2024, các chuyên gia an ninh mạng đã phát hiện ra một Remote AccesTrojan (RAT) mới có tên là DslogdRAT, được cài đặt trên các thiết bị Ivanti Connect Secure (ICS) bị xâm phạm. Các tác nhân đe dọa đã khai thác lỗ hổng zero-day quan trọng, được theo dõi là CVE-2025-0282, cho phép thực thi mã từ xa không xác thực. Ivanti đã giải quyết lỗ hổng này vào đầu tháng 1 năm 2025, nhưng trước đó các tổ chức tại Nhật Bản đã được chọn.

Mở cửa: Truy cập ban đầu thông qua Web Shell

Động thái đầu tiên của kẻ tấn công liên quan đến việc triển khai một web shell nhẹ dựa trên Perl được ngụy trang thành một tập lệnh CGI. Cửa hậu này đã được kiểm tra giá trị cookie cụ thể, DSAUTOKEN=af95380019083db5, trước khi thực hiện các lệnh. Thông qua quyền truy cập này, kẻ tấn công có thể khởi chạy thêm phần mềm độc hại, đáng chú ý là DslogdRAT.

Dưới Radar: Luồng tấn công nhiều giai đoạn của DslogdRAT

DslogdRAT hoạt động thông qua một quy trình thông minh gồm nhiều giai đoạn để tránh bị phát hiện:

Giai đoạn 1: Quy trình chính tạo ra một quy trình con chịu trách nhiệm giải mã dữ liệu cấu hình và khởi chạy quy trình cốt lõi thứ hai.

Giai đoạn 2: Quá trình nuôi dạy con liên tục vẫn diễn ra, kết hợp các khoảng thời gian ngủ để giảm thiểu rủi ro phát hiện.

Giai đoạn 3: Tiến trình con thứ hai khởi tạo các chức năng cốt lõi của RAT, bao gồm giao tiếp hệ thống và thực thi lệnh.

Kiến trúc này đảm bảo khả năng phục hồi và ẩn náu, khiến cho những người bảo vệ khó có thể phát hiện và tiêu diệt phần mềm độc hại.

Cuộc trò chuyện bí mật: Kỹ thuật giao tiếp tùy chỉnh

Giao tiếp với máy chủ Command-and-Control (C2) diễn ra thông qua socket, sử dụng một lược đồ mã hóa dựa trên XOR tùy chỉnh. Các thông điệp được mã hóa bao gồm dấu vân tay hệ thống quan trọng và tuân theo một định dạng giao tiếp nghiêm ngặt.

DslogdRAT hỗ trợ một số chức năng chính:

• Tải lên và tải xuống tập tin
• Thực hiện lệnh Shell
• Thiết lập proxy để định tuyến lưu lượng truy cập độc hại

Những khả năng này cho phép kẻ tấn công duy trì quyền kiểm soát chặt chẽ đối với các hệ thống bị nhiễm và xâm nhập sâu hơn vào mạng.

Chỉ trong giờ làm việc: Chiến thuật thông minh để tránh bị phát hiện

Một tính năng bất thường của DslogdRAT là lịch trình hoạt động tích hợp của nó: nó chỉ chạy giữa 8:00 sáng và 8:00 tối. Ngoài những giờ này, nó sẽ ở trạng thái ngủ đông, bắt chước các mô hình hoạt động của người dùng chuẩn và giảm thiểu rủi ro bị phát hiện ngoài giờ.

Nhiều hơn một mối đe dọa: Phát hiện SPAWNSNARE

Bên cạnh DslogdRAT, một phần mềm độc hại khác có tên SPAWNSNARE đã được tìm thấy trên các hệ thống bị ảnh hưởng. Mặc dù vẫn chưa rõ liệu các phần mềm độc hại này có phải là một phần của cùng một chiến dịch hay có liên quan trực tiếp đến nhóm UNC5221 hay không, sự hiện diện đồng thời của chúng gợi ý về các hoạt động được phối hợp bởi các tác nhân đe dọa tinh vi.

Mối đe dọa ngày càng gia tăng: Những vụ khai thác mới vào năm 2025

Vào tháng 4 năm 2025, các nhà nghiên cứu bảo mật đã tiết lộ rằng một lỗ hổng khác, CVE-2025-22457, cũng đã được sử dụng để triển khai phần mềm độc hại. Chiến dịch mới hơn này được cho là do UNC5221 thực hiện, được cho là một nhóm tin tặc Trung Quốc. Tuy nhiên, các chuyên gia vẫn đang điều tra xem hoạt động này có liên quan đến các cuộc tấn công trước đó liên quan đến họ phần mềm độc hại SPAWN hay không.