### Funcionalidad del Shell Web
Se ha identificado un shell web escrito en Perl que funciona como un Common Gateway Interface (CGI). Este script puede capturar encabezados de cookies de solicitudes HTTP. Si encuentra un valor específico, utiliza la función del sistema para ejecutar un comando arbitrario proporcionado en la solicitud. Esto sugiere que los atacantes pueden usar esta herramienta para ejecutar malware como DSLOGDRAT.
### Descripción de dslogdrat
DSLOGDRAT opera creando un proceso hijo tras otro, donde el primero se detiene mientras que el segundo se encarga de la funcionalidad principal del malware. Este proceso principal establece comunicación con un servidor de control (C2) utilizando información codificada en su configuración. DSLOGDRAT está diseñado para minimizar la detección, elaborando su comunicación específicamente para funcionar entre las 8:00 AM y las 8:00 PM, lo que sugiere una táctica para evitar la atención durante el horario laboral.
Los datos de configuración de DSLOGDRAT están codificados y utilizan un algoritmo de cifrado simple, aplicando XOR a bloques de 7 bytes. La configuración incluye detalles importantes como la dirección IP del servidor C2 y las credenciales de un proxy, permitiendo a los atacantes cargar y descargar archivos, ejecutar comandos y usar una funcionalidad de proxy.
### Comunicación de DSLOGDRAT
El malware se comunica a través de conexiones de socket y el intercambio de datos está diseñado para ser discreto. Inicialmente, DSLOGDRAT envía información básica sobre la máquina comprometida al servidor C2, siguiendo un formato estructurado que incluye datos como la longitud del mensaje y los datos codificados.
Dentro de su conjunto de comandos, DSLOGDRAT permite diversas operaciones. Entre estas se incluyen la carga y descarga de archivos, la ejecución de comandos de shell y la gestión de proxies. Cada uno de estos comandos es parte fundamental para establecer un punto de entrada inicial efectivo en los sistemas atacados.
### SpawnsNare
Además de DSLOGDRAT, se detectó el malware SpawnsNare en el mismo sistema comprometido, que fue reportado anteriormente por CISA y Google. Los detalles sobre el comportamiento de SpawnsNare se pueden encontrar en informes específicos que describen su actividad maliciosa.
### Conclusiones y Recomendaciones
Actualmente, no se ha determinado si los ataques que emplean DSLOGDRAT son parte de la misma campaña que involucra a la familia de malware dirigida por UNC5221. Sin embargo, es evidente que la vulnerabilidad en Ivanti Connect Secure (CVE-2025-22457) sigue siendo un vector de ataque relevante, y se espera que continúen los esfuerzos de los atacantes en este sentido. Por lo tanto, se recomienda a las organizaciones que mantengan un monitoreo constante sobre sus sistemas y estén atentas a cualquier actividad sospechosa.
### Apéndices
Se incluyen varios apéndices con datos detallados sobre la configuración de DSLOGDRAT, comandos soportados, servidores C2 utilizados, así como valores hash y rutas de archivos relacionados con el malware. Esto proporciona un recurso adicional para investigadores y expertos en ciberseguridad que buscan entender mejor la operación de estas amenazas.
En resumen, el análisis del malware dslogdrat y su interacción con componentes como el shell web enfatiza la importancia de estar alerta ante vulnerabilidades críticas en sistemas, y la necesidad de implementar medidas de seguridad robustas para mitigar el riesgo de ataques.
Enlace de la fuente, haz clic para tener más información