DslogdRAT 惡意軟體瞄準組織及其數據
DslogdRAT 是一個突出的網路安全威脅,它是針對全球關鍵系統的一系列複雜網路入侵中的最新工具。
Table of Contents
DslogdRAT 是什麼?
DslogdRAT 首次曝光是在網路安全專家發現其安裝後,利用了廣泛使用的遠端存取解決方案Ivanti Connect Secure (ICS)中現已解決的漏洞。此漏洞編號為 CVE-2025-0282,允許攻擊者遠端執行程式碼,而無需任何使用者驗證。儘管 Ivanti 於 2025 年 1 月初發布了修補程式修復漏洞,但早在 2024 年 12 月,惡意行為者就已經在網路攻擊中積極利用該漏洞作為零日漏洞,尤其是在日本。
DslogdRAT 的一些歷史
該漏洞的利用被追溯到與中國有關的間諜組織 UNC5337。該組織利用該漏洞不僅傳播了新發現的 DslogdRAT,還部署了一系列被稱為 SPAWN 惡意軟體生態系統的惡意工具以及 DRYHOOK 和 PHASEJAM 等其他惡意軟體。有趣的是,雖然 SPAWN 被歸因於 UNC5337,但 DRYHOOK 和 PHASEJAM 的使用尚未與特定參與者聯繫起來。
更複雜的是,SPAWN 的更新版本(SPAWNCHIMERA 和 RESURGE)也被偵測到利用了相同的漏洞。根據報告,另一個組織 UNC5221 利用 ICS 中的另一個漏洞 (CVE-2025-22457) 來傳播類似的惡意軟體變種。然而,目前的調查尚未確定 DslogdRAT 是否與涉及 SPAWN 的這些更廣泛的行動直接相關。
攻擊是如何發生的
涉及 DslogdRAT 的典型攻擊鏈始於攻擊者利用 CVE-2025-0282 漏洞植入 Web Shell(一種允許對受感染伺服器進行遠端控制的腳本)。然後,該 Web Shell 充當將 DslogdRAT 部署到目標系統的跳板。
一旦嵌入,DslogdRAT 就會透過套接字連結與外部伺服器建立連線。它收集並傳輸有關受感染系統的基本信息,並隨時準備接收進一步的命令。這些指令的範圍包括執行任意 shell 命令、上傳或下載文件,甚至使用受感染的機器作為代理來掩蓋進一步的惡意活動。
總體而言這意味著什麼?
DslogdRAT 的出現正值針對 ICS 和類似系統的活動日益增加之際。威脅情報公司 GreyNoise 報告稱,僅在 24 小時內,針對 ICS 和 Ivanti Pulse Secure (IPS) 設備的可疑掃描次數就增加了 9 倍。過去三個月內,已有超過 1,000 個唯一 IP 位址參與了這項掃描活動。其中,255 個位址被歸類為主動惡意位址,通常源自 TOR 出口節點,而 643 個位址被標記為可疑位址,主要與不知名的託管服務提供者有關。這些掃描最常見的來源是美國、德國和荷蘭。
專家認為,儘管官方尚未將任何特定的新漏洞與觀察到的掃描聯繫起來,但這種偵察激增可能表明有協調一致的活動正在為未來的利用做準備。
總結
DslogdRAT 的出現提醒組織在保護其數位基礎設施方面面臨的持續挑戰。雖然該惡意軟體的技術性質令人擔憂,但它的發現也強調了主動修補程式管理、全面監控網路活動和及時回應事件的重要性。
對於依賴 Ivanti Connect Secure 等遠端存取技術的企業和機構來說,關鍵點很明確:對新興威脅保持警惕不僅是建議,而且是必要的。定期更新、全面的威脅偵測措施以及對員工進行網路安全最佳實踐培訓可以大大降低 DslogdRAT 等惡意軟體帶來的風險。
隨著網路安全社群繼續調查和監控這一威脅,建議各組織審查其對易受攻擊系統的暴露情況,並相應地加強其防禦策略。儘管威脅形勢不斷變化,但明智而敏捷的回應仍然是最好的防禦。
