日本電腦緊急應變團隊暨協調中心(JPCERT/CC)近期通報指出,有攻擊者利用Ivanti Connect Secure裝置上已被發現的零時差漏洞CVE-2025-0282,對多家日本組織發動攻擊,成功植入DslogdRAT木馬程式與簡易Web Shell,持續控制受害者系統並展開後續滲透行動。這波攻擊主要發生於2024年12月前後,JPCERT/CC提醒企業加強防護,並持續監控Ivanti產品的異常行為。
根據研究人員的分析,攻擊者首先在受害裝置上部署以Perl撰寫的Web Shell,該腳本在CGI環境運作,能讀取HTTP請求的Cookie標頭資訊,並驗證是否包含特定值。當驗證成功,Web Shell即可接收並執行攻擊者透過參數傳入的任意指令。由於Web Shell功能單純,研究人員推測攻擊者主要藉此建立遠端命令執行入口,以便下載及啟動DslogdRAT等後續惡意程式。
DslogdRAT的運作設計具隱匿性,木馬啟動後會先建立一個子程序並終止自身主程序,以減少在系統行程中留下明顯的活動痕跡。該子程序負責解碼內嵌的設定資料,並進一步啟動第二個子程序執行核心功能。第一個子程序持續存活並進行輪詢(Polling),以維持表面活動,掩護後續的惡意行為,第二個子程序則執行DslogdRAT核心功能,以pthread函式庫建立工作執行緒,與C2伺服器交換資料並執行各項指令。
在與C2伺服器通訊的過程,DslogdRAT會對資料進行簡單編碼處理,以增加傳輸內容的混淆程度,降低被攔截分析的風險。木馬本身也將設定資料進行編碼保護,並限制其活動時間,僅於每天上午8點至晚上8點間進行通訊,藉此偽裝成一般業務流量,避免在非上班時段引起注意。DslogdRAT支援多種操作,包括檔案傳輸、遠端指令執行與流量代理功能,使攻擊者能夠持續控制受害系統,並展開橫向移動或隱匿行動。
此外,研究人員也指出,在同一受害系統上發現了另一款名為SPAWNSNARE的惡意程式。SPAWNSNARE曾在2025年4月被CISA與Google揭露,不過,目前尚無法確認此次DslogdRAT攻擊行動,是否與先前操控SPAWN系列惡意程式的攻擊組織UNC5221直接相關。
研究人員呼籲企業留意官方漏洞修補公告,並強化偵測與分析異常行為,尤其是針對伺服器上異常出現的CGI腳本、非預期的網路連線行為,以及應用程式執行緒異常等情況。
熱門新聞
2025-05-22
2025-05-19
2025-05-19
2025-05-19
2025-05-20
2025-05-20
2025-05-20