DslogdRAT マルウェア
2024年末、サイバーセキュリティ専門家は、侵害を受けたIvanti Connect Secure(ICS)デバイスにインストールされた、DslogdRATと呼ばれる新たなリモートアクセストロイの木馬(RAT)を発見しました。脅威アクターは、CVE-2025-0282として追跡されている、認証されていないリモートコード実行を許す重大なゼロデイ脆弱性を悪用していました。Ivantiは2025年1月初旬にこの脆弱性への対策を実施しましたが、その時点で既に日本の組織が選定されていました。
目次
ドアを破る: Web Shell 経由の初期アクセス
攻撃者の最初の動きは、CGIスクリプトに偽装した軽量のPerlベースのウェブシェルを展開することでした。このバックドアは、コマンドを実行する前に、特定のCookie値(DSAUTOKEN=af95380019083db5)をチェックしていました。このアクセスを通じて、攻撃者はDslogdRATをはじめとするさらなるマルウェアを起動することができました。
レーダーの下に潜む:DslogdRAT の多段階攻撃フロー
DslogdRAT は、検出を回避するために巧妙な多段階のプロセスを通じて動作します。
ステージ 1:プライマリ プロセスは、構成データをデコードし、2 番目のコア プロセスを起動する役割を持つ子プロセスを生成します。
ステージ 2:永続的な親プロセスはアクティブなままであり、検出リスクを最小限に抑えるためにスリープ間隔が組み込まれています。
ステージ 3: 2 番目の子プロセスは、システム通信やコマンド実行などのコア RAT 機能を開始します。
このアーキテクチャは回復力とステルス性を保証するため、防御側がマルウェアを発見して終了することは困難です。
秘密の会話:カスタムコミュニケーションテクニック
コマンドアンドコントロール(C2)サーバーとの通信は、カスタムXORベースのエンコード方式を用いたソケット経由で行われます。エンコードされたメッセージには重要なシステムフィンガープリントが含まれており、厳格な通信フォーマットに準拠しています。
DslogdRAT はいくつかの重要な機能をサポートしています。
- ファイルのアップロードとダウンロード
- シェルコマンドの実行
- 悪意のあるトラフィックをルーティングするためのプロキシ設定
これらの機能により、攻撃者は感染したシステムをしっかりと制御し、ネットワークのさらに奥深くまで侵入することができます。
営業時間のみ:検出を回避するための巧妙な戦術
DslogdRATの珍しい特徴は、組み込みの動作スケジュールです。午前8時から午後8時までのみ動作します。それ以外の時間帯は休止状態となり、標準的なユーザーアクティビティパターンを模倣することで、オフピーク時の検出リスクを最小限に抑えます。
複数の脅威:SPAWNSNAREの発見
DslogdRATに加え、SPAWNSNAREという別のマルウェアも感染システム上で確認されました。これらのマルウェアが同一の攻撃活動の一部なのか、それともUNC5221グループと直接関連しているのかは不明ですが、これらが同時に存在することは、高度な脅威アクターによる組織的な活動であることを示唆しています。
増大する脅威:2025年の新たな脆弱性
2025年4月、セキュリティ研究者は別の脆弱性(CVE-2025-22457)がマルウェア拡散に利用されたことを明らかにしました。この新たな攻撃は、中国のハッカー集団とみられるUNC5221によるものとされています。しかし、専門家は、この活動がSPAWNマルウェアファミリーによる以前の攻撃との関連性について、現在も調査を続けています。
