Задна вратичка на Dohdoor
Недокументиран досега клъстер от заплахи е свързан с продължаваща злонамерена кампания, насочена към образователния и здравния сектор в Съединените щати поне от декември 2025 г. Изследователи по сигурността проследяват тази активност под обозначението UAT-10027. Основната цел на кампанията е внедряването на новоидентифицирана задна врата, известна като Dohdoor.
Много образователни институции вече са компрометирани, включително университет с връзка с няколко свързани институции, което предполага потенциално разширена повърхност за атака. Здравно заведение, специализирано в грижи за възрастни хора, също е потвърдено като жертва, което подчертава секторно-специфичния фокус на операцията.
Съдържание
Верига на заразяване и внедряване на зловреден софтуер
Въпреки че точният първоначален вектор на достъп остава неопределен, разследващите подозират, че кампанията започва с фишинг тактики, базирани на социално инженерство, които в крайна сметка задействат изпълнението на злонамерен PowerShell скрипт.
Инфекционният процес протича на няколко етапа:
- Скриптът PowerShell извлича и изпълнява пакетен файл на Windows от отдалечен сървър за подготовка.
- След това пакетният файл изтегля злонамерен DLL файл, обикновено наречен „propsys.dll“ или „batmeter.dll“.
- DLL файлът, идентифициран като Dohdoor, се изпълнява чрез странично зареждане на DLL файлове, използвайки легитимни двоични файлове на Windows, като например „Fondue.exe“, „mblctr.exe“ или „ScreenClippingHost.exe“.
- След като е активна, задната вратичка изтегля вторичен полезен товар директно в паметта и го изпълнява, оценявайки го като Cobalt Strike Beacon.
Тази многопластова верига за изпълнение демонстрира умишлени усилия за смесване на злонамерени компоненти с надеждни системни процеси, за да се избегне откриването.
Тайна инфраструктура за командване и контрол
Dohdoor използва DNS-over-HTTPS (DoH), за да управлява комуникациите тип „командване и контрол“ (C2). Чрез криптиране на DNS заявки в HTTPS трафика, зловредният софтуер прикрива комуникациите си в привидно легитимен криптиран уеб трафик.
Злоумишленикът допълнително замъглява инфраструктурата, като маршрутизира C2 сървърите през мрежата на Cloudflare. В резултат на това изходящите комуникации от компрометираните системи изглеждат като стандартен HTTPS трафик, насочен към надежден глобален IP адрес.
Този подход ефективно заобикаля традиционните защитни механизми, включително:
- DNS-базирани системи за откриване и DNS sinkholes
- Инструменти за мрежов мониторинг, които сигнализират за подозрителни търсения на домейни
- Конвенционални решения за анализ на трафика, разчитащи на видими DNS заявки
В допълнение към техниките за избягване на мрежови атаки, Dohdoor активно откача системните извиквания в NTDLL.dll, за да заобиколи решенията за откриване и реагиране на крайни точки (EDR), които разчитат на наблюдение на API в потребителски режим. Тази възможност значително намалява вероятността от поведенческо откриване на ниво крайна точка.
Оперативни цели и финансова мотивация
Към момента не са идентифицирани потвърдени доказателства за изтичане на данни. Освен внедряването на Cobalt Strike Beacon като последващ полезен товар, не е наблюдаван допълнителен зловреден софтуер в последен етап.
Въпреки липсата на рансъмуер или кражба на данни досега, анализаторите оценяват, че кампанията вероятно е финансово мотивирана. Това заключение се основава на модела на виктимология и внедряването на инструменти, често свързани с пост-експлоатационните рамки, използвани при прониквания с цел монетизация.
Анализ на приписването и припокривания в Северна Корея
Самоличността на групата, стояща зад UAT-10027, остава неизвестна. Изследователите обаче са установили тактически прилики между Dohdoor и LazarLoader, програма за изтегляне, която преди това е била приписвана на севернокорейската група за заплахи Lazarus.
Въпреки че съществуват технически припокривания със зловредния софтуер, свързан с Lazarus, фокусът на кампанията върху образованието и здравеопазването се отклонява от традиционното насочване на Lazarus към криптовалутни платформи и организации, свързани с отбраната.
Въпреки това, историческата активност на севернокорейските участници в разработването на напреднали постоянни заплахи (APT) разкрива частично съответствие с виктимологията. Например, севернокорейските оператори са използвали рансъмуер вирус Maui срещу здравни организации, а групата Kimsuky е насочила атаките си към образователни институции. Тези прецеденти подчертават тематични припокривания с профила на атака на UAT-10027, въпреки че не е установена окончателна атрибуция.
Комбинацията от сложни техники за избягване, селективно насочване към сектори и прикриване на инфраструктура позиционира UAT-10027 като значителна и развиваща се заплаха, изискваща повишена бдителност в критичните сектори на услугите.
