日本计算机事件响应小组(JPCERT/CC)研究人员披露,2024年12月针对日本机构的攻击中,黑客利用零日漏洞(CVE-2025-0282)部署了新型恶意软件DslogdRAT及网页后门。该漏洞(CVSS评分9.0)属于栈缓冲区溢出类型,影响Ivanti Connect Secure 22.7R2.5之前版本、Ivanti Policy Secure 22.7R1.2之前版本,以及Ivanti Neurons for ZTA网关22.7R2.3之前版本。
漏洞利用链分析
-
未认证攻击者可实现远程代码执行
-
本地认证攻击者可进行权限提升
-
美国网络安全局(CISA)已于2025年1月将该漏洞列入已知可利用漏洞目录
-
2025年3月微软警告称,与"丝缎台风"(Silk Typhoon)APT组织相关的攻击者正利用该漏洞渗透全球IT供应链
攻击技术细节
攻击者使用Perl编写的CGI网页后门,通过校验特定DSAUTOKEN cookie值(af95380019083db5)后,利用system函数执行远程命令以部署DslogdRAT。JPCERT/CC报告指出:"该脚本作为CGI程序运行,若检测到匹配的cookie值,则执行请求参数中注入的任意命令。"
DslogdRAT运作机制
-
进程分身:主进程创建首个子进程后自毁,该子进程解码配置数据后生成第二子进程
-
首个子进程进入含休眠间隔的循环(持久化驻留)
-
第二子进程通过pthread库实现核心功能
-
C2通信:
-
创建工作者线程建立套接字通信
-
根据硬编码的XOR加密配置连接C2服务器(每日8:00-20:00活动以规避检测)
-
恶意功能:
-
代理中转
-
文件上传/下载
-
命令行指令执行
关联威胁
同一受害系统中还发现SPAWNSNARE恶意软件,该样本曾于2025年4月被CISA与谷歌威胁分析组(TAG)通报。
原文始发于微信公众号(黑猫安全):日本计算机应急响应小组警告称,黑客组织正在利用Ivanti Connect Secure设备部署新型远控木马DslogdRAT
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论