DslogdRAT-Malware zielt auf Organisationen und deren Daten ab
DslogdRAT ist eine besondere Bedrohung für die Cybersicherheit und das neueste Tool in einer Reihe hochentwickelter Cyberangriffe, die auf kritische Systeme weltweit abzielen.
Table of Contents
Was ist DslogdRAT?
DslogdRAT wurde erstmals bekannt, nachdem Cybersicherheitsexperten seine Installation entdeckt hatten, nachdem eine inzwischen behobene Schwachstelle in Ivanti Connect Secure (ICS) , einer weit verbreiteten Fernzugriffslösung, ausgenutzt worden war. Die Schwachstelle mit der Bezeichnung CVE-2025-0282 ermöglichte es Angreifern, Code remote auszuführen, ohne dass eine Benutzerauthentifizierung erforderlich war. Obwohl Ivanti die Schwachstelle Anfang Januar 2025 mit einem Patch behob, nutzten böswillige Akteure sie bereits im Dezember 2024 aktiv als Zero-Day-Schwachstelle bei Cyberangriffen, insbesondere in Japan, aus.
Etwas Geschichte zu DslogdRAT
Die Ausnutzung dieser Schwachstelle wurde auf eine mit China verbundene Spionagegruppe namens UNC5337 zurückgeführt. Diese Gruppe nutzte die Schwachstelle nicht nur, um das neu entdeckte DslogdRAT zu verbreiten, sondern auch, um eine Sammlung bösartiger Tools, bekannt als SPAWN-Malware-Ökosystem, neben anderen Varianten wie DRYHOOK und PHASEJAM einzusetzen. Interessanterweise wurde SPAWN zwar UNC5337 zugeschrieben, die Nutzung von DRYHOOK und PHASEJAM konnte jedoch bisher keinem bestimmten Akteur zugeordnet werden.
Die Situation wird noch komplexer, da auch aktualisierte Versionen von SPAWN, genannt SPAWNCHIMERA und RESURGE, entdeckt wurden, die dieselbe Schwachstelle ausnutzen. Eine weitere Gruppe, UNC5221, nutzte Berichten zufolge eine separate Schwachstelle in ICS (CVE-2025-22457), um ähnliche Malware-Varianten zu verbreiten. Aktuelle Untersuchungen haben jedoch noch nicht ergeben, ob DslogdRAT direkt mit diesen umfassenderen SPAWN-Operationen in Verbindung steht.
Wie die Angriffe stattfinden
Die typische Angriffskette mit DslogdRAT beginnt damit, dass Angreifer die Sicherheitslücke CVE-2025-0282 ausnutzen, um eine Webshell zu implantieren – ein Skript, das die Fernsteuerung eines kompromittierten Servers ermöglicht. Diese Webshell dient dann als Sprungbrett für die Installation von DslogdRAT auf den Zielsystemen.
Nach dem Eindringen stellt DslogdRAT über eine Socket-Verbindung eine Verbindung zu einem externen Server her. Es sammelt und überträgt grundlegende Informationen über das infizierte System und ist bereit, weitere Befehle zu empfangen. Diese Anweisungen können von der Ausführung beliebiger Shell-Befehle über das Hoch- und Herunterladen von Dateien bis hin zur Nutzung des infizierten Rechners als Proxy reichen, um weitere schädliche Aktivitäten zu verschleiern.
Was bedeutet es insgesamt?
Das Auftauchen von DslogdRAT fällt in eine Zeit erhöhter Aktivität gegen ICS und ähnliche Systeme. Das Threat-Intelligence-Unternehmen GreyNoise meldete innerhalb von nur 24 Stunden eine Neunfachung der verdächtigen Scan-Versuche auf ICS und Ivanti Pulse Secure (IPS)-Geräte. In den letzten drei Monaten waren mehr als 1.000 eindeutige IP-Adressen von diesen Scan-Aktivitäten betroffen. Davon wurden 255 Adressen als aktiv bösartig eingestuft und stammten häufig von TOR-Exit-Knoten. 643 Adressen wurden als verdächtig gekennzeichnet und stehen hauptsächlich mit unbekannten Hosting-Anbietern in Verbindung. Die häufigsten Quellen dieser Scans waren die USA, Deutschland und die Niederlande.
Experten gehen davon aus, dass dieser Anstieg der Aufklärungsaktivitäten ein Anzeichen für koordinierte Kampagnen zur Vorbereitung künftiger Ausnutzungen sein könnte, auch wenn den beobachteten Scans offiziell keine konkreten neuen Schwachstellen zugeordnet werden konnten.
Das Fazit
Das Auftauchen von DslogdRAT erinnert Unternehmen an die anhaltenden Herausforderungen bei der Sicherung ihrer digitalen Infrastrukturen. Der technische Charakter der Malware ist zwar besorgniserregend, ihre Entdeckung unterstreicht aber auch die entscheidende Bedeutung eines proaktiven Patch-Managements, einer gründlichen Überwachung der Netzwerkaktivität und einer zeitnahen Reaktion auf Vorfälle.
Für Unternehmen und Institutionen, die auf Fernzugriffstechnologien wie Ivanti Connect Secure angewiesen sind, ist die wichtigste Erkenntnis klar: Wachsamkeit gegenüber neuen Bedrohungen ist nicht nur empfehlenswert, sondern unerlässlich. Regelmäßige Updates, umfassende Maßnahmen zur Bedrohungserkennung und Mitarbeiterschulungen zu Best Practices der Cybersicherheit können die Risiken durch Malware wie DslogdRAT erheblich mindern.
Da die Cybersicherheits-Community diese Bedrohung weiterhin untersucht und überwacht, wird Unternehmen empfohlen, ihre Gefährdung durch anfällige Systeme zu überprüfen und ihre Abwehrstrategien entsprechend zu stärken. Obwohl sich die Bedrohungslandschaft ständig verändert, bleiben fundierte und flexible Reaktionen die beste Verteidigung.
