DslogdRAT Malware riktar sig mot organisationer och deras data
DslogdRAT är ett framhävt cybersäkerhetshot, som representerar det senaste verktyget i en serie sofistikerade cyberintrång riktade mot kritiska system över hela världen.
Table of Contents
Vad är DslogdRAT?
DslogdRAT kom först i dagen efter att cybersäkerhetsexperter upptäckte dess installation efter utnyttjandet av en nu löst sårbarhet i Ivanti Connect Secure (ICS) , en flitigt använd fjärråtkomstlösning. Felet i fråga, identifierat som CVE-2025-0282, gjorde det möjligt för angripare att exekvera kod på distans utan behov av användarautentisering. Även om Ivanti åtgärdade sårbarheten med en patch i början av januari 2025, hade illvilliga aktörer redan aktivt utnyttjat den som en nolldag under cyberattacker, särskilt i Japan, så tidigt som i december 2024.
Lite historik på DslogdRAT
Exploateringen av denna sårbarhet spårades tillbaka till en spionagegrupp som är kopplad till Kina, känd som UNC5337. Denna grupp utnyttjade bristen inte bara för att leverera den nyupptäckta DslogdRAT utan också för att distribuera en samling skadliga verktyg som kallas SPAWN malware-ekosystemet tillsammans med andra stammar som DRYHOOK och PHASEJAM. Intressant nog, medan SPAWN har tillskrivits UNC5337, har användningen av DRYHOOK och PHASEJAM ännu inte kopplats till en specifik aktör.
För att tillföra ytterligare komplexitet till situationen har uppdaterade versioner av SPAWN, kallade SPAWNCHIMERA och RESURGE, också upptäckts som utnyttjar samma sårbarhet. En annan grupp, UNC5221, har enligt uppgift använt ett separat fel i ICS (CVE-2025-22457) för att sprida liknande varianter av skadlig programvara. Men nuvarande undersökningar har ännu inte avgjort om DslogdRAT är direkt kopplad till dessa bredare verksamheter som involverar SPAWN.
Hur attackerna uppstår
Den typiska attackkedjan som involverar DslogdRAT börjar med att angripare drar fördel av CVE-2025-0282-sårbarheten för att implantera ett webbskal – ett skript som tillåter fjärrkontroll över en inträngd server. Detta webbskal fungerar sedan som en språngbräda för att distribuera DslogdRAT på de riktade systemen.
När den väl är inbäddad upprättar DslogdRAT en anslutning med en extern server via en socket-länk. Den samlar in och överför grundläggande information om det infekterade systemet och förblir redo att ta emot ytterligare kommandon. Dessa instruktioner kan sträcka sig från att utföra godtyckliga skalkommandon till att ladda upp eller ladda ner filer och till och med använda den komprometterade maskinen som proxy för att maskera ytterligare skadliga aktiviteter.
Vad betyder det överlag?
Framväxten av DslogdRAT kommer vid en tidpunkt av ökad aktivitet mot ICS och liknande system. Hotintelligensföretaget GreyNoise har rapporterat en niofaldig ökning av suspekta skanningsinsatser riktade mot ICS och Ivanti Pulse Secure (IPS) apparater inom bara 24 timmar. Under de senaste tre månaderna har mer än 1 000 unika IP-adresser varit inblandade i denna skanningsaktivitet. Av dessa har 255 adresser klassificerats som aktivt skadliga, ofta härrörande från TOR-utgångsnoder, medan 643 är flaggade som misstänkta, främst kopplade till obskyra värdleverantörer. De vanligaste källorna till dessa skanningar har varit USA, Tyskland och Nederländerna.
Experter föreslår att denna ökning av spaning kan vara ett tecken på samordnade kampanjer som förbereder sig för framtida utnyttjande, även om inga specifika nya sårbarheter officiellt har kopplats till den observerade skanningen.
Takeaway
Ankomsten av DslogdRAT påminner organisationer om de ihållande utmaningar de står inför när det gäller att säkra sin digitala infrastruktur. Även om skadlig programvaras tekniska natur är oroande, understryker upptäckten också den avgörande betydelsen av proaktiv patchhantering, noggrann övervakning av nätverksaktivitet och snabba incidentrespons.
För företag och institutioner som förlitar sig på tekniker för fjärråtkomst som Ivanti Connect Secure är nyckeln tydlig: att vara vaksam mot nya hot rekommenderas inte bara – det är viktigt. Regelbundna uppdateringar, omfattande åtgärder för att upptäcka hot och personalutbildning om bästa praxis för cybersäkerhet kan bidra långt för att minska riskerna med skadlig programvara som DslogdRAT.
Eftersom cybersäkerhetsgemenskapen fortsätter att undersöka och övervaka detta hot, rekommenderas organisationer att se över sin exponering för sårbara system och stärka sina defensiva strategier i enlighet därmed. Även om hotbilden ständigt förändras, förblir informerade och smidiga svar det bästa försvaret.
