DslogdRAT Malware retter sig mod organisationer og deres data
DslogdRAT er en fremhævet cybersikkerhedstrussel, som repræsenterer det seneste værktøj i en række sofistikerede cyberindtrængen rettet mod kritiske systemer verden over.
Table of Contents
Hvad er DslogdRAT?
DslogdRAT kom først frem, efter at cybersikkerhedseksperter afslørede dets installation efter udnyttelsen af en nu løst sårbarhed i Ivanti Connect Secure (ICS) , en meget brugt fjernadgangsløsning. Den pågældende fejl, identificeret som CVE-2025-0282, gjorde det muligt for angribere at udføre kode eksternt uden behov for brugergodkendelse. Selvom Ivanti adresserede sårbarheden med en patch i begyndelsen af januar 2025, havde ondsindede aktører allerede aktivt udnyttet den som en nul-dag under cyberangreb, især i Japan, så tidligt som i december 2024.
Lidt historie på DslogdRAT
Udnyttelsen af denne sårbarhed blev sporet tilbage til en Kina-forbundet spionagegruppe kendt som UNC5337. Denne gruppe udnyttede fejlen ikke kun til at levere den nyopdagede DslogdRAT, men også til at implementere en samling af ondsindede værktøjer kendt som SPAWN malware-økosystemet sammen med andre stammer som DRYHOOK og PHASEJAM. Interessant nok, mens SPAWN er blevet tilskrevet UNC5337, er brugen af DRYHOOK og PHASEJAM endnu ikke blevet knyttet til en specifik skuespiller.
For at tilføje yderligere kompleksitet til situationen er opdaterede versioner af SPAWN, kaldet SPAWNCHIMERA og RESURGE, også blevet opdaget, der udnytter den samme sårbarhed. En anden gruppe, UNC5221, har angiveligt brugt en separat fejl i ICS (CVE-2025-22457) til at udbrede lignende malware-varianter. De nuværende undersøgelser mangler dog endnu at fastslå, om DslogdRAT er direkte forbundet med disse bredere operationer, der involverer SPAWN.
Hvordan angrebene opstår
Den typiske angrebskæde, der involverer DslogdRAT, begynder med, at angribere udnytter CVE-2025-0282-sårbarheden til at implantere en web-shell - et script, der tillader fjernstyring af en kompromitteret server. Denne web-shell fungerer derefter som et springbræt til at implementere DslogdRAT på de målrettede systemer.
Når den er indlejret, etablerer DslogdRAT en forbindelse med en ekstern server via et socketlink. Den indsamler og transmitterer grundlæggende information om det inficerede system og forbliver klar til at modtage yderligere kommandoer. Disse instruktioner kan strække sig fra at udføre vilkårlige shell-kommandoer til at uploade eller downloade filer og endda bruge den kompromitterede maskine som en proxy til at maskere yderligere ondsindede aktiviteter.
Hvad betyder det samlet set?
Fremkomsten af DslogdRAT kommer på et tidspunkt med øget aktivitet mod ICS og lignende systemer. Trusselsefterretningsfirmaet GreyNoise har rapporteret en nidobling af mistænkelige scanningsindsatser rettet mod ICS og Ivanti Pulse Secure (IPS) apparater inden for blot 24 timer. I løbet af de seneste tre måneder har mere end 1.000 unikke IP-adresser været involveret i denne scanningsaktivitet. Ud af disse er 255 adresser blevet klassificeret som aktivt ondsindede, der ofte stammer fra TOR exit noder, mens 643 er markeret som mistænkelige, primært knyttet til obskure hostingudbydere. De hyppigste kilder til disse scanninger har været USA, Tyskland og Holland.
Eksperter foreslår, at denne stigning i rekognoscering kan være et tegn på koordinerede kampagner, der forbereder sig på fremtidig udnyttelse, selvom ingen specifikke nye sårbarheder officielt er knyttet til den observerede scanning.
Takeaway
Ankomsten af DslogdRAT minder organisationer om de vedvarende udfordringer, de står over for med at sikre deres digitale infrastrukturer. Selvom malwarens tekniske karakter er bekymrende, understreger dens opdagelse også den kritiske betydning af proaktiv programrettelsesstyring, grundig overvågning af netværksaktivitet og rettidig reaktion på hændelser.
For virksomheder og institutioner, der er afhængige af fjernadgangsteknologier som Ivanti Connect Secure, er nøglen klar: At være på vagt over for nye trusler anbefales ikke kun – det er vigtigt. Regelmæssige opdateringer, omfattende trusselsdetektionsforanstaltninger og personaletræning i bedste praksis for cybersikkerhed kan bidrage langt med at afbøde risici fra malware som DslogdRAT.
Da cybersikkerhedssamfundet fortsætter med at undersøge og overvåge denne trussel, rådes organisationer til at gennemgå deres eksponering for sårbare systemer og styrke deres defensive strategier i overensstemmelse hermed. Selvom trusselslandskabet konstant skifter, er informerede og agile reaktioner stadig det bedste forsvar.
