Το νέο DslogdRAT malware διανέμεται μέσω ευπάθειας στο Ivanti Connect Secure
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το νέο DslogdRAT malware διανέμεται μέσω ευπάθειας στο Ivanti Connect Secure
https://www.secnews.gr/646823/neo-dslogdrat-malware-dianemetai-meso-eupatheias-ivanti-connect-secure/
Apr 25th 2025, 18:02
by Digital Fortress
Οι ειδικοί στην κυβερνοασφάλεια κρούουν τον κώδωνα του κινδύνου για την εμφάνιση ενός νέου κακόβουλου λογισμικού με την ονομασία DslogdRAT, το οποίο εγκαθίσταται στα μηχανήματα των στόχων, αφού πρώτα χρησιμοποιηθεί μια ευπάθεια στο Ivanti Connect Secure (έχει τώρα διορθωθεί).
Σύμφωνα με την ανάλυση του Yuma Masubuchi, ερευνητή του JPCERT/CC, το κακόβουλο πρόγραμμα και ένα συνοδευτικό web shell εγκαταστάθηκαν μέσω της εκμετάλλευσης της ευπάθειας CVE-2025-0282, η οποία τότε ήταν άγνωστη (zero-day). Στόχευσε οργανισμούς στην Ιαπωνία γύρω στον Δεκέμβριο του 2024.
Η συγκεκριμένη ευπάθεια αφορούσε μια σοβαρή αδυναμία στο Ivanti Connect Secure, που επέτρεπε σε επιτιθέμενους να εκτελούν κώδικα εξ αποστάσεως, χωρίς εξουσιοδότηση. Η Ivanti κυκλοφόρησε μια ενημέρωση τον Ιανουάριο του 2025.
Δείτε επίσης: H SAP διορθώνει κρίσιμα ελαττώματα στο NetWeaver
Ωστόσο, πριν από τη διάθεση της ενημέρωσης, η ευπάθεια είχε ήδη αξιοποιηθεί από την ομάδα κυβερνοκατασκοπείας UNC5337, που φέρεται να έχει σύνδεση με την Κίνα. Η ομάδα αυτή χρησιμοποίησε το κενό ασφαλείας για να διανείμει το κακόβουλο οικοσύστημα SPAWN, μαζί με άλλα προηγμένα εργαλεία.
Έκτοτε, τόσο ο οργανισμός JPCERT/CC όσο και η αμερικανική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) έχουν επιβεβαιώσει πως η ίδια ευπάθεια αξιοποιήθηκε για την εγκατάσταση νέων παραλλαγών του SPAWN, γνωστών ως SPAWNCHIMERA και RESURGE.
Λίγο νωρίτερα αυτόν τον μήνα, η εταιρεία Mandiant (θυγατρική της Google) αποκάλυψε ότι μια διαφορετική ευπάθεια στο σύστημα Ivanti Connect Secure (CVE-2025-22457) χρησιμοποιήθηκε επίσης για να διανεμηθεί κακόβουλο λογισμικό. Η επίθεση αυτή αποδίδεται σε άλλη κινεζική ομάδα κυβερνοκατασκοπείας, με την ονομασία UNC5221.
Το JPCERT/CC διευκρίνισε πως προς το παρόν δεν υπάρχουν σαφή στοιχεία που να δείχνουν αν οι επιθέσεις που περιλαμβάνουν το κακόβουλο λογισμικό DslogdRAT σχετίζονται με την ίδια καμπάνια στην οποία εμπλέκονται η γνωστή οικογένεια malware SPAWN και η ομάδα UNC5221.
Δείτε επίσης: Η ASUS διορθώνει ευπάθεια AMI που επιτρέπει παραβίαση servers
Η επίθεση φαίνεται να ξεκινά με την εκμετάλλευση της ευπάθειας CVE-2025-0282, μέσω της οποίας εγκαθίσταται ένα web shell γραμμένο σε Perl. Αυτό το εργαλείο ανοίγει τον δρόμο για την εγκατάσταση επιπλέον κακόβουλων προγραμμάτων, συμπεριλαμβανομένου του DslogdRAT.
Μόλις εγκατασταθεί, το κακόβουλο λογισμικό DslogdRAT δημιουργεί μια σύνδεση με απομακρυσμένο διακομιστή και στέλνει βασικά δεδομένα του συστήματος-στόχου. Από εκεί και πέρα, αναμένει οδηγίες από τον επιτιθέμενο, οι οποίες του επιτρέπουν να εκτελεί shell commands, να ανεβάζει και να κατεβάζει αρχεία, αλλά και να χρησιμοποιεί το παραβιασμένο μηχάνημα ως proxy για άλλες επιθέσεις.
Προστασία από malware
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι οι υπάλληλοι πρέπει να μάθουν να αναγνωρίζουν και να αποφεύγουν τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν malware.
Επίσης, είναι σημαντικό να διατηρείται το λειτουργικό σύστημα και οι εφαρμογές ενημερωμένα. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή από τις πιο πρόσφατες απειλές.
Δείτε επίσης: Ευπάθεια στο Active! Mail χρησιμοποιείται για επιθέσεις στην Ιαπωνία
Επίσης, μην ξεχνάμε τη χρήση firewalls και την παρακολούθηση του network traffic που θα βοηθήσει στον άμεσο εντοπισμό ύποπτης δραστηριότητας. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας έναντι του malware. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το νέο DslogdRAT malware διανέμεται μέσω ευπάθειας στο Ivanti Connect Secure
https://www.secnews.gr/646823/neo-dslogdrat-malware-dianemetai-meso-eupatheias-ivanti-connect-secure/
Apr 25th 2025, 18:02
by Digital Fortress
Οι ειδικοί στην κυβερνοασφάλεια κρούουν τον κώδωνα του κινδύνου για την εμφάνιση ενός νέου κακόβουλου λογισμικού με την ονομασία DslogdRAT, το οποίο εγκαθίσταται στα μηχανήματα των στόχων, αφού πρώτα χρησιμοποιηθεί μια ευπάθεια στο Ivanti Connect Secure (έχει τώρα διορθωθεί).
Σύμφωνα με την ανάλυση του Yuma Masubuchi, ερευνητή του JPCERT/CC, το κακόβουλο πρόγραμμα και ένα συνοδευτικό web shell εγκαταστάθηκαν μέσω της εκμετάλλευσης της ευπάθειας CVE-2025-0282, η οποία τότε ήταν άγνωστη (zero-day). Στόχευσε οργανισμούς στην Ιαπωνία γύρω στον Δεκέμβριο του 2024.
Η συγκεκριμένη ευπάθεια αφορούσε μια σοβαρή αδυναμία στο Ivanti Connect Secure, που επέτρεπε σε επιτιθέμενους να εκτελούν κώδικα εξ αποστάσεως, χωρίς εξουσιοδότηση. Η Ivanti κυκλοφόρησε μια ενημέρωση τον Ιανουάριο του 2025.
Δείτε επίσης: H SAP διορθώνει κρίσιμα ελαττώματα στο NetWeaver
Ωστόσο, πριν από τη διάθεση της ενημέρωσης, η ευπάθεια είχε ήδη αξιοποιηθεί από την ομάδα κυβερνοκατασκοπείας UNC5337, που φέρεται να έχει σύνδεση με την Κίνα. Η ομάδα αυτή χρησιμοποίησε το κενό ασφαλείας για να διανείμει το κακόβουλο οικοσύστημα SPAWN, μαζί με άλλα προηγμένα εργαλεία.
Έκτοτε, τόσο ο οργανισμός JPCERT/CC όσο και η αμερικανική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) έχουν επιβεβαιώσει πως η ίδια ευπάθεια αξιοποιήθηκε για την εγκατάσταση νέων παραλλαγών του SPAWN, γνωστών ως SPAWNCHIMERA και RESURGE.
Λίγο νωρίτερα αυτόν τον μήνα, η εταιρεία Mandiant (θυγατρική της Google) αποκάλυψε ότι μια διαφορετική ευπάθεια στο σύστημα Ivanti Connect Secure (CVE-2025-22457) χρησιμοποιήθηκε επίσης για να διανεμηθεί κακόβουλο λογισμικό. Η επίθεση αυτή αποδίδεται σε άλλη κινεζική ομάδα κυβερνοκατασκοπείας, με την ονομασία UNC5221.
Το JPCERT/CC διευκρίνισε πως προς το παρόν δεν υπάρχουν σαφή στοιχεία που να δείχνουν αν οι επιθέσεις που περιλαμβάνουν το κακόβουλο λογισμικό DslogdRAT σχετίζονται με την ίδια καμπάνια στην οποία εμπλέκονται η γνωστή οικογένεια malware SPAWN και η ομάδα UNC5221.
Δείτε επίσης: Η ASUS διορθώνει ευπάθεια AMI που επιτρέπει παραβίαση servers
Η επίθεση φαίνεται να ξεκινά με την εκμετάλλευση της ευπάθειας CVE-2025-0282, μέσω της οποίας εγκαθίσταται ένα web shell γραμμένο σε Perl. Αυτό το εργαλείο ανοίγει τον δρόμο για την εγκατάσταση επιπλέον κακόβουλων προγραμμάτων, συμπεριλαμβανομένου του DslogdRAT.
Μόλις εγκατασταθεί, το κακόβουλο λογισμικό DslogdRAT δημιουργεί μια σύνδεση με απομακρυσμένο διακομιστή και στέλνει βασικά δεδομένα του συστήματος-στόχου. Από εκεί και πέρα, αναμένει οδηγίες από τον επιτιθέμενο, οι οποίες του επιτρέπουν να εκτελεί shell commands, να ανεβάζει και να κατεβάζει αρχεία, αλλά και να χρησιμοποιεί το παραβιασμένο μηχάνημα ως proxy για άλλες επιθέσεις.
Προστασία από malware
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι οι υπάλληλοι πρέπει να μάθουν να αναγνωρίζουν και να αποφεύγουν τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν malware.
Επίσης, είναι σημαντικό να διατηρείται το λειτουργικό σύστημα και οι εφαρμογές ενημερωμένα. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή από τις πιο πρόσφατες απειλές.
Δείτε επίσης: Ευπάθεια στο Active! Mail χρησιμοποιείται για επιθέσεις στην Ιαπωνία
Επίσης, μην ξεχνάμε τη χρήση firewalls και την παρακολούθηση του network traffic που θα βοηθήσει στον άμεσο εντοπισμό ύποπτης δραστηριότητας. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας έναντι του malware. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια