DslogdRAT Malware retter seg mot organisasjoner og deres data
DslogdRAT er en fremhevet cybersikkerhetstrussel, som representerer det siste verktøyet i en serie sofistikerte cyberinntrengninger rettet mot kritiske systemer over hele verden.
Table of Contents
Hva er DslogdRAT?
DslogdRAT kom først frem etter at cybersikkerhetseksperter avdekket installasjonen etter utnyttelsen av en nå løst sårbarhet i Ivanti Connect Secure (ICS) , en mye brukt fjerntilgangsløsning. Den aktuelle feilen, identifisert som CVE-2025-0282, tillot angripere å kjøre kode eksternt uten behov for brukerautentisering. Selv om Ivanti adresserte sårbarheten med en oppdatering tidlig i januar 2025, hadde ondsinnede aktører allerede utnyttet det aktivt som en nulldag under nettangrep, spesielt i Japan, så tidlig som i desember 2024.
Litt historie på DslogdRAT
Utnyttelsen av denne sårbarheten ble sporet tilbake til en Kina-tilknyttet spionasjegruppe kjent som UNC5337. Denne gruppen utnyttet feilen ikke bare for å levere den nyoppdagede DslogdRAT, men også for å distribuere en samling ondsinnede verktøy kjent som SPAWN malware-økosystemet sammen med andre stammer som DRYHOOK og PHASEJAM. Interessant nok, mens SPAWN har blitt tilskrevet UNC5337, har bruken av DRYHOOK og PHASEJAM ennå ikke blitt knyttet til en spesifikk aktør.
For å legge til ytterligere kompleksitet til situasjonen, har oppdaterte versjoner av SPAWN, kalt SPAWNCHIMERA og RESURGE, også blitt oppdaget som utnytter den samme sårbarheten. En annen gruppe, UNC5221, har angivelig brukt en egen feil i ICS (CVE-2025-22457) for å spre lignende skadevarevarianter. Nåværende undersøkelser har imidlertid ennå ikke avgjort om DslogdRAT er direkte koblet til disse bredere operasjonene som involverer SPAWN.
Hvordan angrepene skjer
Den typiske angrepskjeden som involverer DslogdRAT begynner med at angripere utnytter CVE-2025-0282-sårbarheten for å implantere et web-skall – et skript som tillater fjernkontroll over en kompromittert server. Dette web-skallet fungerer deretter som et springbrett for å distribuere DslogdRAT på de målrettede systemene.
Når den er innebygd, oppretter DslogdRAT en forbindelse med en ekstern server gjennom en socket-link. Den samler inn og overfører grunnleggende informasjon om det infiserte systemet og forblir klar til å motta ytterligere kommandoer. Disse instruksjonene kan variere fra å utføre vilkårlige skallkommandoer til å laste opp eller laste ned filer og til og med bruke den kompromitterte maskinen som en proxy for å maskere ytterligere ondsinnede aktiviteter.
Hva betyr det totalt sett?
Fremveksten av DslogdRAT kommer på et tidspunkt med økt aktivitet mot ICS og lignende systemer. Trusseletterretningsfirmaet GreyNoise har rapportert en nidobling av mistenkelig skanning rettet mot ICS- og Ivanti Pulse Secure (IPS)-apparater innen bare 24 timer. I løpet av de siste tre månedene har mer enn 1000 unike IP-adresser vært involvert i denne skanningsaktiviteten. Av disse har 255 adresser blitt klassifisert som aktivt ondsinnede, ofte med opprinnelse fra TOR-utgangsnoder, mens 643 er flagget som mistenkelige, primært knyttet til obskure hostingleverandører. De hyppigste kildene til disse skanningene har vært USA, Tyskland og Nederland.
Eksperter antyder at denne økningen i rekognosering kan være et tegn på koordinerte kampanjer som forbereder seg på fremtidig utnyttelse, selv om ingen spesifikke nye sårbarheter er offisielt knyttet til den observerte skanningen.
Takeawayen
Ankomsten av DslogdRAT minner organisasjoner om de vedvarende utfordringene de står overfor når det gjelder å sikre sin digitale infrastruktur. Selv om skadevarens tekniske natur er bekymringsfull, understreker oppdagelsen også den kritiske betydningen av proaktiv patchadministrasjon, grundig overvåking av nettverksaktivitet og rettidig respons på hendelser.
For bedrifter og institusjoner som er avhengige av fjerntilgangsteknologier som Ivanti Connect Secure, er nøkkelen klar: Å være årvåken mot nye trusler anbefales ikke bare – det er viktig. Regelmessige oppdateringer, omfattende trusseldeteksjonstiltak og personalopplæring i beste praksis for cybersikkerhet kan bidra langt i å redusere risikoen fra skadelig programvare som DslogdRAT.
Ettersom nettsikkerhetssamfunnet fortsetter å undersøke og overvåke denne trusselen, anbefales organisasjoner å vurdere sin eksponering for sårbare systemer og styrke sine defensive strategier tilsvarende. Selv om trussellandskapet er i stadig endring, er informerte og smidige reaksjoner fortsatt det beste forsvaret.
