DslogdRAT 恶意软件瞄准组织及其数据

DslogdRAT 是一个突出的网络安全威胁，它是针对全球关键系统的一系列复杂网络入侵中的最新工具。

DslogdRAT 是什么？

DslogdRAT 最初曝光于网络安全专家的手中，该病毒利用了广泛使用的远程访问解决方案Ivanti Connect Secure (ICS)中一个现已修复的漏洞。该漏洞编号为 CVE-2025-0282，允许攻击者无需用户身份验证即可远程执行代码。尽管 Ivanti 于 2025 年 1 月初发布了补丁修复了该漏洞，但早在 2024 年 12 月，恶意攻击者就已积极利用该漏洞进行网络攻击，尤其是在日本。

DslogdRAT 的一些历史

该漏洞的利用可追溯至一个与中国有关联的间谍组织 UNC5337。该组织利用该漏洞不仅传播了新发现的 DslogdRAT，还部署了一系列名为 SPAWN 的恶意软件生态系统，以及 DRYHOOK 和 PHASEJAM 等其他恶意软件。值得注意的是，虽然 SPAWN 已被归咎于 UNC5337，但 DRYHOOK 和 PHASEJAM 的使用尚未被确定为具体的攻击者。

更复杂的是，SPAWN 的更新版本（SPAWNCHIMERA 和 RESURGE）也被检测到利用了相同的漏洞。据报道，另一个组织 UNC5221 利用了 ICS 中的另一个漏洞 (CVE-2025-22457) 来传播类似的恶意软件变种。然而，目前的调查尚未确定 DslogdRAT 是否与这些涉及 SPAWN 的更广泛行动直接相关。

攻击是如何发生的

DslogdRAT 的典型攻击链始于攻击者利用 CVE-2025-0282 漏洞植入 Web Shell（一个允许远程控制受感染服务器的脚本）。之后，该 Web Shell 便作为跳板，将 DslogdRAT 部署到目标系统上。

一旦嵌入，DslogdRAT 就会通过套接字链接与外部服务器建立连接。它会收集并传输受感染系统的基本信息，并随时准备接收进一步的命令。这些指令可能包括执行任意 Shell 命令、上传或下载文件，甚至使用受感染的计算机作为代理来掩盖进一步的恶意活动。

总体而言这意味着什么？

DslogdRAT 的出现正值针对工业控制系统 (ICS) 及类似系统的攻击活动日益增多之际。威胁情报公司 GreyNoise 报告称，仅 24 小时内，针对工业控制系统 (ICS) 和 Ivanti Pulse Secure (IPS) 设备的可疑扫描次数就增加了 9 倍。过去三个月内，超过 1,000 个唯一 IP 地址参与了此类扫描活动。其中，255 个地址被归类为主动恶意地址，通常来自 TOR 出口节点；另有 643 个地址被标记为可疑地址，主要与不知名的托管服务提供商关联。这些扫描最常发生的来源地是美国、德国和荷兰。

专家认为，尽管官方尚未将任何具体的新漏洞与观察到的扫描联系起来，但这种侦察激增可能表明有协调一致的活动正在为未来的利用做准备。

总结

DslogdRAT 的出现提醒各组织机构，他们在保护数字基础设施方面面临着持续的挑战。虽然该恶意软件的技术特性令人担忧，但它的发现也凸显了主动补丁管理、全面监控网络活动以及及时响应事件的重要性。

对于依赖 Ivanti Connect Secure 等远程访问技术的企业和机构来说，关键点显而易见：对新兴威胁保持警惕不仅是建议，更是必需。定期更新、全面的威胁检测措施以及针对网络安全最佳实践的员工培训，可以有效降低 DslogdRAT 等恶意软件带来的风险。

随着网络安全界持续调查和监控这一威胁，建议各组织机构审查其易受攻击的系统暴露情况，并相应地加强防御策略。尽管威胁形势瞬息万变，但明智而敏捷的响应仍然是最佳防御手段。