В последних атаках, JPCERT/CC была обнаружена вредоносная программа, называемая DslogdRAT, которая использовала уязвимость нулевого дня, CVE-2025-0282, для внедрения в Ivanti Connect Secure.
Описание
DslogdRAT была установлена через взломанную веб-оболочку, написанную на Perl. Эта веб-оболочка содержала фрагмент кода, который выполнял произвольные команды, если определенные значения содержались в заголовке Cookie HTTP-запроса. Атакующие использовали эту веб-оболочку для запуска DslogdRAT.
DslogdRAT включал несколько процессов и потоков для установления связи с сервером C2 и выполнения различных команд. Он также имел закодированные конфигурационные данные, которые были жестко заданы. Было установлено, что DslogdRAT был настроен на работу только в определенное время с 8:00 утра до 8:00 вечера, чтобы избежать обнаружения.
DslogdRAT использовал сокет-соединения для связи с сервером C2, а данные, передаваемые между ними, были кодированы с использованием простой XOR-операции. В начальной коммуникации с сервером, DslogdRAT отправлял основную информацию о зараженном хосте. Вредоносная программа также поддерживала несколько команд, включая загрузку и скачивание файлов, выполнение команд оболочки и функциональность прокси-сервера.
Кроме DslogdRAT, в той же атаке была обнаружена еще одна вредоносная программа SPAWNSNARE, о которой ранее сообщали CISA и Google.
Атаки, использовавшие DslogdRAT, показывают, что хакеры продолжают разрабатывать новые и сложные способы внедрения вредоносных программ и обхода защитных мер, поэтому Японский центр по безопасности информации и связи (JPCERT/CC) рекомендует всем организациям обновлять свое программное обеспечение и следить за новыми обновлениями, чтобы предотвратить атаки и защитить свои системы от возможных угроз.
Индикаторы компрометации
IPv4
- 3.112.192.119
SHA256
- 1dd64c00f061425d484dd67b359ad99df533aa430632c55fa7e7617b55dab6a8
- b1221000f43734436ec8022caaa34b133f4581ca3ae8eccd8d57ea62573f301d
- f48857263991eea1880de0f62b3d1d37101c2e7739dcd8629b24260d08850f9c
