Dohdoor Backdoor

تم ربط مجموعة من أنشطة التهديد غير الموثقة سابقًا بحملة خبيثة مستمرة تستهدف قطاعي التعليم والرعاية الصحية في جميع أنحاء الولايات المتحدة منذ ديسمبر 2025 على الأقل. ويتتبع باحثو الأمن هذه الأنشطة تحت مسمى UAT-10027. والهدف الرئيسي من الحملة هو نشر باب خلفي تم اكتشافه حديثًا يُعرف باسم Dohdoor.

تعرضت العديد من المؤسسات التعليمية للاختراق، بما في ذلك جامعة متصلة بالعديد من المؤسسات التابعة لها، مما يشير إلى احتمال اتساع نطاق الهجوم. كما تأكد تعرض منشأة رعاية صحية متخصصة في رعاية المسنين للاختراق، مما يؤكد تركيز العملية على هذا القطاع تحديداً.

سلسلة العدوى ونشر البرامج الضارة

على الرغم من أن طريقة الوصول الأولية الدقيقة لا تزال غير محددة، إلا أن المحققين يشتبهون في أن الحملة تبدأ بتكتيكات التصيد الاحتيالي القائمة على الهندسة الاجتماعية والتي تؤدي في النهاية إلى تنفيذ برنامج PowerShell خبيث.

تتكشف سلسلة العدوى على مراحل متعددة:

• يقوم برنامج PowerShell النصي باسترداد وتنفيذ ملف دفعي لنظام التشغيل Windows من خادم مرحلي بعيد.
• ثم يقوم ملف الدفعة بتنزيل ملف DLL خبيث، وعادة ما يكون اسمه 'propsys.dll' أو 'batmeter.dll'.
• يتم تنفيذ ملف DLL، الذي تم تحديده باسم Dohdoor، من خلال تحميل DLL الجانبي باستخدام ملفات ثنائية شرعية لنظام التشغيل Windows مثل 'Fondue.exe' أو 'mblctr.exe' أو 'ScreenClippingHost.exe'.
• بمجرد تفعيلها، تقوم البوابة الخلفية بسحب حمولة ثانوية مباشرة إلى الذاكرة وتنفيذها، والتي تم تقييمها على أنها منارة ضربة الكوبالت.

تُظهر سلسلة التنفيذ متعددة الطبقات هذه جهودًا متعمدة لدمج المكونات الخبيثة مع عمليات النظام الموثوقة لتجنب الكشف.

بنية تحتية سرية للقيادة والسيطرة

يستغل برنامج Dohdoor تقنية DNS عبر HTTPS (DoH) لإدارة اتصالات القيادة والتحكم (C2). ومن خلال تشفير استعلامات DNS ضمن حركة مرور HTTPS، يخفي البرنامج الخبيث اتصالاته ضمن حركة مرور ويب مشفرة تبدو شرعية.

يُخفي المهاجم البنية التحتية بشكل أكبر عن طريق توجيه خوادم التحكم والسيطرة عبر شبكة كلاود فلير. ونتيجة لذلك، تظهر الاتصالات الصادرة من الأنظمة المخترقة كحركة مرور HTTPS عادية موجهة إلى عنوان IP عالمي موثوق.

يتجاوز هذا النهج بشكل فعال آليات الدفاع التقليدية، بما في ذلك:

• أنظمة الكشف القائمة على نظام أسماء النطاقات (DNS) وثغرات نظام أسماء النطاقات (DNS)

• أدوات مراقبة الشبكة التي ترصد عمليات البحث المشبوهة عن النطاقات

• حلول تحليل حركة المرور التقليدية التي تعتمد على استعلامات نظام أسماء النطاقات المرئية

إضافةً إلى تقنيات التهرب من الشبكة، يقوم برنامج دوهدور بفصل استدعاءات النظام في ملف NTDLL.dll بشكل فعال لتجاوز حلول الكشف والاستجابة لنقاط النهاية (EDR) التي تعتمد على مراقبة واجهة برمجة التطبيقات (API) في وضع المستخدم. هذه الخاصية تقلل بشكل كبير من احتمالية اكتشاف السلوكيات المشبوهة على مستوى نقاط النهاية.

الأهداف التشغيلية والدوافع المالية

حتى الآن، لم يتم العثور على أي دليل مؤكد على تسريب البيانات. وباستثناء استخدام برنامج Cobalt Strike Beacon كحمولة لاحقة، لم يتم رصد أي برامج خبيثة أخرى في المرحلة النهائية.

على الرغم من عدم رصد أي نشاط لبرامج الفدية أو سرقة البيانات حتى الآن، يرجّح المحللون أن تكون الحملة مدفوعة بدوافع مالية. ويستند هذا الاستنتاج إلى نمط الضحايا واستخدام الأدوات الشائعة في أطر ما بعد الاختراق المستخدمة في عمليات الاختراق التي تهدف إلى تحقيق الربح.

تحليل الإسناد والتداخلات الكورية الشمالية

لا تزال هوية المجموعة التي تقف وراء برنامج UAT-10027 مجهولة. ومع ذلك، فقد حدد الباحثون أوجه تشابه تكتيكية بين برنامج Dohdoor وبرنامج LazarLoader، وهو برنامج تنزيل نُسب سابقًا إلى جماعة Lazarus الكورية الشمالية.

على الرغم من وجود تداخلات تقنية مع البرامج الضارة المرتبطة بـ Lazarus، إلا أن تركيز الحملة على التعليم والرعاية الصحية يختلف عن استهداف Lazarus التقليدي لمنصات العملات المشفرة والكيانات ذات الصلة بالدفاع.

مع ذلك، يكشف النشاط التاريخي لجهات التهديد المتقدمة المستمرة (APT) في كوريا الشمالية عن توافق جزئي في تحديد الضحايا. فعلى سبيل المثال، استخدمت جهات كورية شمالية برنامج الفدية "ماوي" ضد مؤسسات الرعاية الصحية، واستهدفت مجموعة "كيمسوكي" المؤسسات التعليمية. تُبرز هذه السوابق أوجه تشابه موضوعية مع نمط استهداف مجموعة UAT-10027، على الرغم من عدم تحديد جهة مسؤولة بشكل قاطع.

إن الجمع بين أساليب التهرب المتطورة، والاستهداف الانتقائي للقطاعات، وإخفاء البنية التحتية، يجعل من UAT-10027 تهديدًا كبيرًا ومتطورًا يتطلب يقظة متزايدة في جميع قطاعات الخدمات الحيوية.