Вредоносное ПО DslogdRAT атакует организации и их данные
DslogdRAT — это серьезная угроза кибербезопасности, которая представляет собой новейший инструмент в серии сложных кибервторжений, нацеленных на критически важные системы по всему миру.
Table of Contents
Что такое DslogdRAT?
DslogdRAT впервые появился после того, как эксперты по кибербезопасности обнаружили его установку после эксплуатации теперь уже устраненной уязвимости в Ivanti Connect Secure (ICS) , широко используемом решении для удаленного доступа. Уязвимость, о которой идет речь, идентифицированная как CVE-2025-0282, позволяла злоумышленникам выполнять код удаленно без необходимости аутентификации пользователя. Хотя Ivanti устранила уязвимость с помощью патча в начале января 2025 года, злоумышленники уже активно использовали ее как нулевой день во время кибератак, особенно в Японии, еще в декабре 2024 года.
Немного истории о DslogdRAT
Эксплуатация этой уязвимости была отслежена до связанной с Китаем шпионской группы, известной как UNC5337. Эта группа использовала уязвимость не только для доставки недавно обнаруженного DslogdRAT, но и для развертывания набора вредоносных инструментов, известных как экосистема вредоносного ПО SPAWN, наряду с другими штаммами, такими как DRYHOOK и PHASEJAM. Интересно, что хотя SPAWN приписывается UNC5337, использование DRYHOOK и PHASEJAM пока не было связано с конкретным субъектом.
Ситуацию еще больше усложняет то, что были обнаружены обновленные версии SPAWN, названные SPAWNCHIMERA и RESURGE, которые эксплуатируют ту же уязвимость. Другая группа, UNC5221, как сообщается, использовала отдельную уязвимость в ICS (CVE-2025-22457) для распространения похожих вариантов вредоносного ПО. Однако текущие расследования еще не определили, связан ли DslogdRAT напрямую с этими более масштабными операциями с участием SPAWN.
Как происходят атаки
Типичная цепочка атак с участием DslogdRAT начинается с того, что злоумышленники используют уязвимость CVE-2025-0282 для внедрения веб-оболочки — скрипта, который позволяет удаленно управлять скомпрометированным сервером. Затем эта веб-оболочка выступает в качестве плацдарма для развертывания DslogdRAT на целевых системах.
После внедрения DslogdRAT устанавливает соединение с внешним сервером через сокет-ссылку. Он собирает и передает основную информацию о зараженной системе и остается готовым к получению дальнейших команд. Эти инструкции могут варьироваться от выполнения произвольных команд оболочки до загрузки или скачивания файлов и даже использования скомпрометированной машины в качестве прокси-сервера для маскировки дальнейших вредоносных действий.
Что это означает в целом?
Появление DslogdRAT произошло в период повышенной активности против ICS и аналогичных систем. Компания GreyNoise, занимающаяся разведкой угроз, сообщила о девятикратном увеличении подозрительных попыток сканирования, направленных на устройства ICS и Ivanti Pulse Secure (IPS) всего за 24 часа. За последние три месяца в этой сканирующей деятельности было задействовано более 1000 уникальных IP-адресов. Из них 255 адресов были классифицированы как активно вредоносные, часто исходящие из выходных узлов TOR, в то время как 643 отмечены как подозрительные, в основном связанные с неизвестными хостинг-провайдерами. Наиболее частыми источниками этих сканирований были США, Германия и Нидерланды.
Эксперты предполагают, что этот всплеск разведывательной деятельности может быть признаком скоординированных кампаний по подготовке к будущему использованию уязвимостей, хотя официально никаких конкретных новых уязвимостей, связанных с наблюдаемым сканированием, не было.
Вывод
Появление DslogdRAT напоминает организациям о постоянных проблемах, с которыми они сталкиваются при защите своих цифровых инфраструктур. Хотя техническая природа вредоносного ПО вызывает беспокойство, его обнаружение также подчеркивает критическую важность проактивного управления исправлениями, тщательного мониторинга сетевой активности и своевременного реагирования на инциденты.
Для предприятий и учреждений, полагающихся на технологии удаленного доступа, такие как Ivanti Connect Secure, ключевой вывод очевиден: сохранять бдительность в отношении возникающих угроз не просто рекомендуется — это необходимо. Регулярные обновления, комплексные меры по обнаружению угроз и обучение персонала передовым методам кибербезопасности могут иметь большое значение для снижения рисков, создаваемых вредоносными программами, такими как DslogdRAT.
Поскольку сообщество кибербезопасности продолжает исследовать и отслеживать эту угрозу, организациям рекомендуется пересмотреть свою подверженность уязвимым системам и соответствующим образом усилить свои защитные стратегии. Хотя ландшафт угроз постоянно меняется, информированные и гибкие ответы остаются лучшей защитой.
