„DslogdRAT“ kenkėjiška programa taikoma organizacijoms ir jų duomenims
DslogdRAT yra pabrėžta kibernetinio saugumo grėsmė, kuri yra naujausias įrankis iš sudėtingų kibernetinių įsibrovimų, nukreiptų į svarbiausias sistemas visame pasaulyje.
Table of Contents
Kas yra DslogdRAT?
DslogdRAT pirmą kartą pasirodė po to, kai kibernetinio saugumo ekspertai atskleidė jo diegimą, kai buvo išnaudota dabar išspręsta Ivanti Connect Secure (ICS) , plačiai naudojamo nuotolinės prieigos sprendimo, spraga. Aptariamas trūkumas, identifikuotas kaip CVE-2025-0282, leido užpuolikams vykdyti kodą nuotoliniu būdu, nereikalaujant vartotojo autentifikavimo. Nors 2025 m. sausio pradžioje Ivanti pašalino pažeidžiamumą pataisydama pataisą, kenkėjiški veikėjai jau 2024 m. gruodžio mėn. kibernetinių atakų metu, ypač Japonijoje, aktyviai naudojo ja kaip nulinę dieną.
Šiek tiek istorijos apie DslogdRAT
Šio pažeidžiamumo išnaudojimas buvo atsektas iki su Kinija susijusios šnipinėjimo grupės, žinomos kaip UNC5337. Ši grupė išnaudojo trūkumą ne tik pristatydama naujai atrastą DslogdRAT, bet ir įdiegdama kenkėjiškų įrankių, žinomų kaip SPAWN kenkėjiškų programų ekosistema, rinkinį kartu su kitomis padermėmis, tokiomis kaip DRYHOOK ir PHASEJAM. Įdomu tai, kad nors SPAWN buvo priskirtas UNC5337, DRYHOOK ir PHASEJAM naudojimas dar nebuvo susietas su konkrečiu veikėju.
Situaciją dar labiau apsunkina tai, kad buvo aptiktos atnaujintos SPAWN versijos, pavadintos SPAWNCHIMERA ir RESURGE, išnaudojančios tą patį pažeidžiamumą. Pranešama, kad kita grupė, UNC5221, naudojo atskirą ICS trūkumą (CVE-2025-22457), kad platintų panašius kenkėjiškų programų variantus. Tačiau dabartiniai tyrimai dar turi nustatyti, ar DslogdRAT yra tiesiogiai susijęs su šiomis platesnėmis operacijomis, susijusiomis su SPAWN.
Kaip vyksta išpuoliai
Įprasta atakų grandinė, apimanti DslogdRAT, prasideda tuo, kad užpuolikai pasinaudoja CVE-2025-0282 pažeidžiamumu, kad įdiegtų žiniatinklio apvalkalą – scenarijų, leidžiantį nuotoliniu būdu valdyti pažeistą serverį. Tada šis žiniatinklio apvalkalas veikia kaip tramplinas diegti DslogdRAT tikslinėse sistemose.
Įdėjus, DslogdRAT užmezga ryšį su išoriniu serveriu per lizdo nuorodą. Jis renka ir perduoda pagrindinę informaciją apie užkrėstą sistemą ir yra pasiruošęs gauti tolesnes komandas. Šios instrukcijos gali svyruoti nuo savavališkų apvalkalo komandų vykdymo iki failų įkėlimo ar atsisiuntimo ir net naudojant pažeistą mašiną kaip tarpinį serverį, siekiant užmaskuoti tolesnę kenkėjišką veiklą.
Ką tai reiškia apskritai?
DslogdRAT atsiranda tuo metu, kai suaktyvėja aktyvumas prieš ICS ir panašias sistemas. Grėsmių žvalgybos įmonė „GreyNoise“ pranešė, kad vos per 24 valandas įtartinų nuskaitymo pastangų, nukreiptų į ICS ir „Ivanti Pulse Secure“ (IPS) įrenginius, padaugėjo devynis kartus. Per pastaruosius tris mėnesius šioje nuskaitymo veikloje buvo panaudota daugiau nei 1000 unikalių IP adresų. Iš jų 255 adresai buvo klasifikuojami kaip aktyviai kenkėjiški, dažnai kilę iš TOR išėjimo mazgų, o 643 pažymėti kaip įtartini, pirmiausia susiję su neaiškiais prieglobos paslaugų teikėjais. Dažniausi šių nuskaitymų šaltiniai buvo JAV, Vokietija ir Nyderlandai.
Ekspertai teigia, kad šis žvalgybos antplūdis gali būti koordinuotų kampanijų, ruošiamų būsimam išnaudojimui, ženklas, nors su stebimu skenavimu oficialiai nebuvo susieta jokių konkrečių naujų pažeidžiamumų.
The Takeaway
DslogdRAT atsiradimas primena organizacijoms apie nuolatinius iššūkius, su kuriais jos susiduria siekdamos apsaugoti savo skaitmeninę infrastruktūrą. Nors kenkėjiškos programos techninis pobūdis kelia susirūpinimą, jos atradimas taip pat pabrėžia, kad itin svarbu aktyviai valdyti pataisas, atidžiai stebėti tinklo veiklą ir laiku reaguoti į incidentus.
Įmonėms ir institucijoms, kurios naudojasi nuotolinės prieigos technologijomis, tokiomis kaip „Ivanti Connect Secure“, pagrindinis dalykas yra aiškus: būti budriems nuo kylančių grėsmių ne tik rekomenduojama – tai būtina. Reguliarūs atnaujinimai, išsamios grėsmių aptikimo priemonės ir personalo mokymai apie geriausią kibernetinio saugumo praktiką gali labai padėti sumažinti kenkėjiškų programų, pvz., DslogdRAT, keliamą riziką.
Kibernetinio saugumo bendruomenei toliau tiriant ir stebint šią grėsmę, organizacijoms patariama peržiūrėti savo pažeidžiamų sistemų poveikį ir atitinkamai sustiprinti savo gynybos strategijas. Nors grėsmės aplinka nuolat kinta, informuoti ir judrūs atsakymai išlieka geriausia gynyba.
