DslogdRAT恶意软件

2024年底，网络安全专家发现了一种名为DslogdRAT的新型远程访问木马（RAT），该木马安装在受感染的Ivanti Connect Secure（ICS）设备上。威胁行为者利用了一个关键的零日漏洞（CVE-2025-0282），该漏洞允许未经身份验证的远程代码执行。Ivanti于2025年1月初修复了该漏洞，但在此之前，日本的一些组织已被锁定。

破门而入：通过 Web Shell 进行初始访问

攻击者的第一步是部署一个基于 Perl 的轻量级 Web Shell，并将其伪装成 CGI 脚本。在执行命令之前，该后门会检查特定的 Cookie 值 DSAUTOKEN=af95380019083db5。通过这种访问，攻击者得以启动更多恶意软件，尤其是 DslogdRAT。

隐秘：DslogdRAT 的多阶段攻击流程

DslogdRAT 通过一个巧妙的多阶段流程来逃避检测：

阶段 1：主进程产生一个子进程，负责解码配置数据并启动第二个核心进程。

第 2 阶段：持久父进程保持活动状态，并结合睡眠间隔以最大限度地降低检测风险。

阶段 3：第二个子进程启动核心 RAT 功能，包括系统通信和命令执行。

这种架构保证了弹性和隐秘性，使得防御者很难发现和终止恶意软件。

秘密对话：定制沟通技巧

与命令与控制 (C2) 服务器的通信通过套接字进行，使用自定义的基于异或 (XOR) 的编码方案。编码消息包含关键系统指纹，并遵循严格的通信格式。

DslogdRAT 支持几个关键功能：

• 文件上传和下载
• Shell命令执行
• 设置代理来路由恶意流量

这些功能使攻击者能够牢牢控制受感染的系统并深入网络。

仅限营业时间：巧妙避免被发现

DslogdRAT 的一个独特功能是其内置的运行时间表：它仅在上午 8:00 至晚上 8:00 之间运行。在非运行时间，它会保持休眠状态，模仿标准的用户活动模式，从而最大限度地降低非工作时间被发现的风险。

不止一个威胁：SPAWNSNARE 的发现

除了 DslogdRAT 之外，受影响的系统上还发现了另一种名为 SPAWNSNARE 的恶意软件。虽然目前尚不清楚这些恶意软件是否属于同一攻击活动，还是与 UNC5221 组织直接相关，但它们同时出现暗示着经验丰富的威胁行为者正在协同开展活动。

日益严重的威胁：2025 年的新漏洞

2025年4月，安全研究人员发现，另一个漏洞 CVE-2025-22457 也被用于部署恶意软件。此次新的攻击活动已被归咎于 UNC5221，据信这是一个中国黑客组织。然而，专家仍在调查此次攻击活动是否与早期涉及 SPAWN 恶意软件家族的攻击有关。