DslogdRAT惡意軟體

2024 年底，網路安全專家發現了一種名為 DslogdRAT 的新型遠端存取木馬 (RAT)，安裝在受感染的 Ivanti Connect Secure (ICS) 裝置上。威脅行為者利用了一個嚴重的零日漏洞（CVE-2025-0282），該漏洞允許未經身份驗證的遠端程式碼執行。 Ivanti 於 2025 年 1 月初解決了這個漏洞，但在此之前，日本的組織已經被選中。

破門而入：透過 Web Shell 進行初始訪問

攻擊者的第一步是部署一個偽裝成 CGI 腳本的輕量級、基於 Perl 的 Web shell。在執行指令之前，會檢查此後門的特定 cookie 值 DSAUTOKEN=af95380019083db5。透過這種訪問，攻擊者能夠啟動更多惡意軟體，特別是 DslogdRAT。

隱密：DslogdRAT 的多階段攻擊流程

DslogdRAT 透過一個巧妙的多階段流程來逃避偵測：

階段 1：主進程產生子進程，負責解碼配置資料並啟動第二個核心進程。

第 2 階段：持久父進程保持活動狀態，並結合睡眠間隔以最大限度地降低偵測風險。

階段 3：第二個子程序啟動核心 RAT 功能，包括系統通訊和命令執行。

這種架構保證了彈性和隱密性，使得防禦者很難發現和終止惡意軟體。

秘密對話：客製化溝通技巧

與命令和控制 (C2) 伺服器的通訊透過套接字進行，使用基於 XOR 的自訂編碼方案。編碼資訊包括關鍵的系統指紋並遵循嚴格的通訊格式。

DslogdRAT 支援幾個關鍵功能：

• 文件上傳和下載
• Shell指令執行
• 設定代理來路由惡意流量

這些功能使攻擊者能夠牢牢控制受感染的系統並深入網路。

僅限營業時間：巧妙避免被發現

DslogdRAT 的一個不尋常的特點是其內建的運行時間表：它僅在上午 8:00 至晚上 8:00 之間運行。在這些時間之外，它會保持休眠狀態，模仿標準使用者活動模式並最大限度地降低非工作時間被發現的風險。

不只一個威脅：SPAWNSNARE 的發現

除了 DslogdRAT 之外，在受影響的系統上還發現了另一種名為 SPAWNSNARE 的惡意軟體。雖然目前還不清楚這些惡意軟體是否屬於同一活動的一部分或與 UNC5221 組織直接相關，但它們的同時出現暗示著複雜的威脅行為者正在進行協調活動。

日益嚴重的威脅：2025 年的新漏洞

2025 年 4 月，安全研究人員透露，另一個漏洞 CVE-2025-22457 也被用作部署惡意軟體的武器。這次較新的攻擊活動被歸咎於 UNC5221，據信這是一個中國駭客組織。不過，專家仍在調查這項活動是否與早期涉及 SPAWN 惡意軟體家族的攻擊有關。