DslogdRAT-malware richt zich op organisaties en hun gegevens
DslogdRAT is een opvallende cyberbeveiligingsdreiging. Het is de nieuwste tool in een reeks geavanceerde cyberaanvallen die gericht zijn op kritieke systemen over de hele wereld.
Table of Contents
Wat is DslogdRAT?
DslogdRAT kwam voor het eerst aan het licht nadat cybersecurityexperts de installatie ervan ontdekten na misbruik van een inmiddels opgeloste kwetsbaarheid in Ivanti Connect Secure (ICS) , een veelgebruikte oplossing voor toegang op afstand. De betreffende kwetsbaarheid, geïdentificeerd als CVE-2025-0282, stelde aanvallers in staat om code op afstand uit te voeren zonder gebruikersauthenticatie. Hoewel Ivanti de kwetsbaarheid begin januari 2025 met een patch had verholpen, hadden kwaadwillenden deze al in december 2024 actief misbruikt als zero-day tijdens cyberaanvallen, met name in Japan.
Een stukje geschiedenis over DslogdRAT
De exploitatie van deze kwetsbaarheid werd toegeschreven aan een spionagegroep met banden met China, bekend als UNC5337. Deze groep misbruikte de kwetsbaarheid niet alleen om de nieuw ontdekte DslogdRAT te verspreiden, maar ook om een verzameling kwaadaardige tools te implementeren die bekend staan als het SPAWN-malware-ecosysteem, naast andere malwarestammen zoals DRYHOOK en PHASEJAM. Interessant is dat hoewel SPAWN aan UNC5337 wordt toegeschreven, het gebruik van DRYHOOK en PHASEJAM nog niet aan een specifieke actor is gekoppeld.
Om de situatie nog complexer te maken, zijn er ook bijgewerkte versies van SPAWN, genaamd SPAWNCHIMERA en RESURGE, gedetecteerd die dezelfde kwetsbaarheid misbruiken. Een andere groep, UNC5221, zou een aparte fout in ICS (CVE-2025-22457) hebben gebruikt om vergelijkbare malwarevarianten te verspreiden. Lopende onderzoeken moeten echter nog uitwijzen of DslogdRAT rechtstreeks verband houdt met deze bredere activiteiten waarbij SPAWN betrokken is.
Hoe de aanvallen plaatsvinden
De typische aanvalsketen met DslogdRAT begint met aanvallers die misbruik maken van de CVE-2025-0282-kwetsbaarheid om een webshell te implementeren – een script dat op afstand controle over een gecompromitteerde server mogelijk maakt. Deze webshell fungeert vervolgens als springplank om DslogdRAT op de doelsystemen te implementeren.
Eenmaal ingebouwd, maakt DslogdRAT via een socketverbinding verbinding met een externe server. Het verzamelt en verzendt basisinformatie over het geïnfecteerde systeem en blijft klaar om verdere opdrachten te ontvangen. Deze opdrachten kunnen variëren van het uitvoeren van willekeurige shell-opdrachten tot het uploaden of downloaden van bestanden en zelfs het gebruiken van de gecompromitteerde machine als proxy om verdere kwaadaardige activiteiten te maskeren.
Wat betekent dit in het algemeen?
De opkomst van DslogdRAT komt op een moment van verhoogde activiteit tegen ICS en vergelijkbare systemen. Het dreigingsinformatiebureau GreyNoise heeft een negenvoudige toename gemeld van verdachte scans gericht op ICS- en Ivanti Pulse Secure (IPS)-apparaten in slechts 24 uur. In de afgelopen drie maanden zijn meer dan 1000 unieke IP-adressen betrokken geweest bij deze scans. Hiervan zijn 255 adressen geclassificeerd als actief kwaadaardig, vaak afkomstig van TOR-exit nodes, terwijl 643 adressen als verdacht zijn gemarkeerd, voornamelijk gekoppeld aan obscure hostingproviders. De meest voorkomende bronnen voor deze scans zijn de Verenigde Staten, Duitsland en Nederland.
Volgens deskundigen kan deze toename in verkenningen een teken zijn van gecoördineerde campagnes ter voorbereiding op toekomstige exploitatie, ook al zijn er officieel geen nieuwe kwetsbaarheden in verband gebracht met de waargenomen scans.
De afhaalmaaltijd
De komst van DslogdRAT herinnert organisaties aan de aanhoudende uitdagingen waarmee ze worden geconfronteerd bij het beveiligen van hun digitale infrastructuur. Hoewel de technische aard van de malware zorgwekkend is, onderstreept de ontdekking ervan ook het cruciale belang van proactief patchbeheer, grondige monitoring van netwerkactiviteit en tijdige respons op incidenten.
Voor bedrijven en instellingen die vertrouwen op technologieën voor toegang op afstand zoals Ivanti Connect Secure, is de belangrijkste les duidelijk: waakzaam blijven tegen opkomende bedreigingen is niet alleen aanbevolen, maar essentieel. Regelmatige updates, uitgebreide maatregelen voor bedreigingsdetectie en training van personeel over best practices voor cyberbeveiliging kunnen de risico's van malware zoals DslogdRAT aanzienlijk beperken.
Terwijl de cybersecuritygemeenschap deze dreiging blijft onderzoeken en monitoren, wordt organisaties geadviseerd hun blootstelling aan kwetsbare systemen te evalueren en hun verdedigingsstrategieën dienovereenkomstig te versterken. Hoewel het dreigingslandschap voortdurend verandert, blijven geïnformeerde en flexibele reacties de beste verdediging.
