Malware DslogdRAT atakuje organizacje i ich dane
DslogdRAT to zagrożenie cyberbezpieczeństwa, które stanowi najnowsze narzędzie w serii wyrafinowanych cyberataków wymierzonych w systemy o znaczeniu krytycznym na całym świecie.
Table of Contents
Czym jest DslogdRAT?
DslogdRAT po raz pierwszy ujrzał światło dzienne, gdy eksperci ds. cyberbezpieczeństwa odkryli jego instalację po wykorzystaniu obecnie rozwiązanej luki w zabezpieczeniach Ivanti Connect Secure (ICS) , powszechnie używanego rozwiązania do zdalnego dostępu. Wspomniana luka, zidentyfikowana jako CVE-2025-0282, umożliwiała atakującym zdalne wykonywanie kodu bez konieczności uwierzytelniania użytkownika. Chociaż Ivanti rozwiązało lukę za pomocą poprawki na początku stycznia 2025 r., złośliwi aktorzy aktywnie wykorzystywali ją jako lukę typu zero-day podczas cyberataków, szczególnie w Japonii, już w grudniu 2024 r.
Trochę historii na temat DslogdRAT
Wykorzystanie tej luki zostało powiązane z powiązaną z Chinami grupą szpiegowską znaną jako UNC5337. Grupa ta wykorzystała lukę nie tylko do dostarczenia nowo odkrytego DslogdRAT, ale także do wdrożenia zbioru złośliwych narzędzi znanych jako ekosystem złośliwego oprogramowania SPAWN wraz z innymi szczepami, takimi jak DRYHOOK i PHASEJAM. Co ciekawe, podczas gdy SPAWN został przypisany do UNC5337, użycie DRYHOOK i PHASEJAM nie zostało jeszcze powiązane z konkretnym aktorem.
Dodając jeszcze więcej złożoności do sytuacji, wykryto również zaktualizowane wersje SPAWN, nazwane SPAWNCHIMERA i RESURGE, wykorzystujące tę samą lukę. Inna grupa, UNC5221, podobno wykorzystała odrębną lukę w ICS (CVE-2025-22457) do propagowania podobnych wariantów złośliwego oprogramowania. Jednak obecne dochodzenia nie ustaliły jeszcze, czy DslogdRAT jest bezpośrednio powiązany z tymi szerszymi operacjami obejmującymi SPAWN.
Jak dochodzi do ataków
Typowy łańcuch ataków obejmujący DslogdRAT zaczyna się od tego, że atakujący wykorzystują lukę w zabezpieczeniach CVE-2025-0282, aby wszczepić powłokę internetową — skrypt umożliwiający zdalną kontrolę nad naruszonym serwerem. Ta powłoka internetowa działa następnie jako trampolina do wdrożenia DslogdRAT na docelowych systemach.
Po osadzeniu DslogdRAT nawiązuje połączenie z zewnętrznym serwerem za pośrednictwem łącza gniazda. Gromadzi i przesyła podstawowe informacje o zainfekowanym systemie i pozostaje gotowy na otrzymywanie dalszych poleceń. Instrukcje te mogą obejmować wykonywanie dowolnych poleceń powłoki, przesyłanie lub pobieranie plików, a nawet używanie zainfekowanej maszyny jako serwera proxy w celu maskowania dalszych złośliwych działań.
Co to ogólnie oznacza?
Pojawienie się DslogdRAT następuje w okresie wzmożonej aktywności przeciwko ICS i podobnym systemom. Firma zajmująca się wywiadem zagrożeń GreyNoise zgłosiła dziewięciokrotny wzrost podejrzanych prób skanowania skierowanych na urządzenia ICS i Ivanti Pulse Secure (IPS) w ciągu zaledwie 24 godzin. W ciągu ostatnich trzech miesięcy w tej aktywności skanowania brało udział ponad 1000 unikalnych adresów IP. Spośród nich 255 adresów zostało sklasyfikowanych jako aktywnie złośliwe, często pochodzące z węzłów wyjściowych TOR, podczas gdy 643 zostało oznaczonych jako podejrzane, głównie powiązane z mało znanymi dostawcami hostingu. Najczęstszymi źródłami tych skanów były Stany Zjednoczone, Niemcy i Holandia.
Eksperci sugerują, że ten wzrost aktywności rozpoznawczej może być oznaką skoordynowanych kampanii przygotowujących się do przyszłych ataków, chociaż oficjalnie nie wskazano żadnych konkretnych nowych luk w zabezpieczeniach powiązanych z obserwowanymi działaniami skanowania.
Na wynos
Pojawienie się DslogdRAT przypomina organizacjom o ciągłych wyzwaniach, z jakimi muszą się mierzyć, zabezpieczając swoje infrastruktury cyfrowe. Podczas gdy techniczna natura złośliwego oprogramowania jest niepokojąca, jego odkrycie podkreśla również krytyczne znaczenie proaktywnego zarządzania poprawkami, dokładnego monitorowania aktywności sieciowej i terminowej reakcji na incydenty.
Dla firm i instytucji polegających na technologiach zdalnego dostępu, takich jak Ivanti Connect Secure, kluczowe wnioski są jasne: zachowanie czujności wobec pojawiających się zagrożeń nie jest tylko zalecane — jest niezbędne. Regularne aktualizacje, kompleksowe środki wykrywania zagrożeń i szkolenia personelu w zakresie najlepszych praktyk cyberbezpieczeństwa mogą w dużym stopniu przyczynić się do złagodzenia ryzyka stwarzanego przez złośliwe oprogramowanie, takie jak DslogdRAT.
Ponieważ społeczność cyberbezpieczeństwa nadal bada i monitoruje to zagrożenie, organizacjom zaleca się przegląd ich narażenia na podatne systemy i odpowiednie wzmocnienie strategii obronnych. Chociaż krajobraz zagrożeń ciągle się zmienia, najlepszą obroną pozostają świadome i zwinne odpowiedzi.
