A DslogdRAT malware szervezeteket és adataikat célozza meg
A DslogdRAT egy kiemelt kiberbiztonsági fenyegetés, amely a világ kritikus rendszereit célzó kifinomult számítógépes behatolások sorozatának legújabb eszköze.
Table of Contents
Mi az a DslogdRAT?
A DslogdRAT először azután látott napvilágot, hogy a kiberbiztonsági szakértők felfedezték a telepítését az Ivanti Connect Secure (ICS) , egy széles körben használt távelérési megoldás egy mára feloldott sebezhetőségének kihasználása nyomán. A szóban forgó hiba, amelyet CVE-2025-0282-ként azonosítottak, lehetővé tette a támadók számára, hogy távolról, felhasználói hitelesítés nélkül hajtsanak végre kódot. Bár Ivanti 2025. január elején javította a sérülékenységet, a rosszindulatú szereplők már 2024 decemberében is aktívan kihasználták azt, mint nulladik napot a kibertámadások során, különösen Japánban.
Néhány előzmény a DslogdRAT-ról
A sérülékenység kihasználását egy Kínához köthető, UNC5337 néven ismert kémcsoportra vezették vissza. Ez a csoport nem csak az újonnan felfedezett DslogdRAT szállítására használta fel a hibát, hanem a SPAWN kártevő ökoszisztéma néven ismert rosszindulatú eszközök gyűjteményének telepítésére is, más törzsek, például a DRYHOOK és a PHASEJAM mellett. Érdekes módon, míg a SPAWN-t az UNC5337-nek tulajdonították, a DRYHOOK és a PHASEJAM használatát még nem hozták összefüggésbe egy adott szereplővel.
Tovább bonyolítja a helyzetet, hogy a SPAWN SPAWNCHIMERA és RESURGE elnevezésű frissített verzióit is észlelték, amelyek ugyanazt a sebezhetőséget használják ki. Egy másik csoport, az UNC5221 a jelentések szerint az ICS egy külön hibáját (CVE-2025-22457) használta hasonló kártevő-változatok terjesztésére. A jelenlegi vizsgálatok azonban még nem határozták meg, hogy a DslogdRAT közvetlenül kapcsolódik-e ezekhez a tágabb, SPAWN-t érintő műveletekhez.
Hogyan történnek a támadások
A DslogdRAT-ot érintő tipikus támadási lánc azzal kezdődik, hogy a támadók a CVE-2025-0282 biztonsági rést kihasználva webhéjat ültetnek be – egy szkriptet, amely lehetővé teszi a feltört szerverek távoli irányítását. Ez a webhéj ugródeszkaként működik a DslogdRAT telepítéséhez a megcélzott rendszereken.
A beágyazás után a DslogdRAT kapcsolatot létesít egy külső szerverrel egy socket hivatkozáson keresztül. Összegyűjti és továbbítja a fertőzött rendszerrel kapcsolatos alapvető információkat, és készen áll a további parancsok fogadására. Ezek az utasítások tetszőleges shell-parancsok végrehajtásától a fájlok feltöltéséig vagy letöltéséig terjedhetnek, sőt a feltört gép proxyként való használata is a további rosszindulatú tevékenységek elfedésére.
Mit jelent összességében?
A DslogdRAT megjelenése az ICS és hasonló rendszerekkel szembeni fokozott aktivitás idején jött létre. A GreyNoise fenyegetésekkel foglalkozó hírszerző cég kilencszeres növekedéséről számolt be az ICS és Ivanti Pulse Secure (IPS) készülékekre irányuló gyanús szkennelési erőfeszítések számában mindössze 24 órán belül. Az elmúlt három hónapban több mint 1000 egyedi IP-cím vett részt ebben a vizsgálati tevékenységben. Ezek közül 255 címet minősítettek aktívan rosszindulatúnak, amelyek gyakran TOR kilépési csomópontokból származnak, 643 pedig gyanúsként van megjelölve, elsősorban homályos tárhelyszolgáltatókhoz köthető. Ezeknek a vizsgálatoknak a leggyakoribb forrásai az Egyesült Államok, Németország és Hollandia voltak.
A szakértők szerint ez a felderítés megugrása a jövőbeli kizsákmányolásra előkészítő, összehangolt kampányok jele lehet, jóllehet a megfigyelt átvizsgáláshoz hivatalosan nem kötöttek konkrét új sebezhetőséget.
Az Elvihető
A DslogdRAT megjelenése emlékezteti a szervezeteket az állandó kihívásokra, amelyekkel szembe kell nézniük digitális infrastruktúráik biztonsága terén. Bár a rosszindulatú program technikai természete aggályos, felfedezése rámutat a proaktív javításkezelés, a hálózati tevékenység alapos nyomon követése és az incidensekre való időben történő reagálás kritikus fontosságára.
Az olyan távelérési technológiákra támaszkodó vállalkozások és intézmények számára, mint az Ivanti Connect Secure, a legfontosabb dolog egyértelmű: az újonnan felmerülő fenyegetésekkel szembeni éberség nem csak ajánlott – ez elengedhetetlen. A rendszeres frissítések, az átfogó fenyegetésészlelési intézkedések és az alkalmazottak kiberbiztonsági bevált gyakorlatokkal kapcsolatos képzése nagymértékben csökkentheti a rosszindulatú programok, például a DslogdRAT kockázatait.
Mivel a kiberbiztonsági közösség továbbra is vizsgálja és figyelemmel kíséri ezt a fenyegetést, a szervezeteknek azt tanácsolják, hogy vizsgálják felül a sebezhető rendszerekkel szembeni kitettségüket, és ennek megfelelően erősítsék meg védekezési stratégiájukat. Bár a fenyegetettség folyamatosan változik, továbbra is a tájékozott és agilis válaszadás a legjobb védekezés.
