DslogdRAT-Malware
Ende 2024 entdeckten Cybersicherheitsexperten einen neuen Remote Access Trojan (RAT) namens DslogdRAT, der auf kompromittierten Ivanti Connect Secure (ICS)-Geräten installiert war. Angreifer nutzten eine kritische Zero-Day-Schwachstelle (CVE-2025-0282) aus, die eine nicht authentifizierte Remote-Codeausführung ermöglichte. Ivanti behob diese Schwachstelle Anfang Januar 2025, allerdings erst nachdem bereits Organisationen in Japan ausgewählt worden waren.
Inhaltsverzeichnis
Die Tür knacken: Erster Zugriff über die Web Shell
Der erste Angriffsversuch der Angreifer bestand darin, eine leichte, Perl-basierte Web-Shell zu installieren, die als CGI-Skript getarnt war. Diese Hintertür wurde vor der Ausführung von Befehlen auf einen bestimmten Cookie-Wert (DSAUTOKEN=af95380019083db5) geprüft. Über diesen Zugriff konnten Angreifer weitere Schadsoftware, insbesondere DslogdRAT, starten.
Unter dem Radar: Der mehrstufige Angriffsablauf von DslogdRAT
Um der Erkennung zu entgehen, verwendet DslogdRAT einen cleveren, mehrstufigen Prozess:
Phase 1: Der primäre Prozess erzeugt einen untergeordneten Prozess, der für die Dekodierung der Konfigurationsdaten und den Start eines zweiten Kernprozesses verantwortlich ist.
Phase 2: Ein persistenter übergeordneter Prozess bleibt aktiv und integriert Ruheintervalle, um das Erkennungsrisiko zu minimieren.
Phase 3: Der zweite untergeordnete Prozess initiiert die Kernfunktionen von RAT, einschließlich Systemkommunikation und Befehlsausführung.
Diese Architektur garantiert Widerstandsfähigkeit und Tarnung und erschwert es Verteidigern, die Schadsoftware aufzudecken und zu beseitigen.
Geheime Gespräche: Benutzerdefinierte Kommunikationstechniken
Die Kommunikation mit dem Command-and-Control-Server (C2) erfolgt über Sockets unter Verwendung eines benutzerdefinierten XOR-basierten Verschlüsselungsschemas. Die kodierten Nachrichten enthalten kritische System-Fingerabdrücke und halten sich an ein striktes Kommunikationsformat.
DslogdRAT unterstützt mehrere wichtige Funktionen:
- Dateiupload und -download
- Ausführung von Shell-Befehlen
- Proxy-Setup zum Weiterleiten bösartigen Datenverkehrs
Diese Fähigkeiten ermöglichen es Angreifern, die volle Kontrolle über infizierte Systeme zu behalten und tiefer in Netzwerke einzudringen.
Nur während der Geschäftszeiten: Clevere Taktiken, um nicht entdeckt zu werden
Eine Besonderheit von DslogdRAT ist sein integrierter Betriebszeitplan: Es ist nur zwischen 8:00 Uhr und 20:00 Uhr aktiv. Außerhalb dieser Zeiten bleibt es inaktiv, ahmt die üblichen Benutzeraktivitätsmuster nach und minimiert so das Risiko einer Entdeckung außerhalb der Arbeitszeiten.
Mehr als eine Bedrohung: Entdeckung von SPAWNSNARE
Neben DslogdRAT wurde auf betroffenen Systemen auch eine weitere Malware namens SPAWNSNARE gefunden. Es ist unklar, ob diese Malware Teil derselben Kampagne ist oder direkt mit der Gruppe UNC5221 in Verbindung steht. Ihr gleichzeitiges Auftreten deutet jedoch auf koordinierte Aktivitäten hochentwickelter Bedrohungsakteure hin.
Eine wachsende Bedrohung: Neue Exploits im Jahr 2025
Im April 2025 enthüllten Sicherheitsforscher, dass eine weitere Schwachstelle, CVE-2025-22457, ebenfalls zur Verbreitung von Schadsoftware ausgenutzt wurde. Diese neuere Kampagne wurde UNC5221 zugeschrieben, vermutlich einer chinesischen Hackergruppe. Experten untersuchen jedoch noch, ob diese Aktivität mit den früheren Angriffen der SPAWN-Malware-Familie zusammenhängt.
