Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Portes del darrere Porta del darrere de Dohdoor

Porta del darrere de Dohdoor

El Mezo el Portes del darrere, Amenaça persistent avançada (APT)
Traduir a:

Un clúster d'activitat d'amenaces no documentat prèviament s'ha vinculat a una campanya maliciosa en curs dirigida als sectors de l'educació i la salut a tot els Estats Units des d'almenys el desembre del 2025. Investigadors de seguretat estan rastrejant aquesta activitat sota la designació UAT-10027. L'objectiu principal de la campanya és desplegar una porta del darrere recentment identificada coneguda com a Dohdoor.

Diversos centres educatius ja han estat compromesos, inclosa una universitat amb connectivitat a diverses institucions afiliades, cosa que suggereix una possible ampliació de la superfície d'atac. També s'ha confirmat com a víctima un centre sanitari especialitzat en l'atenció a la gent gran, cosa que subratlla l'enfocament sectorial de l'operació.

Cadena d’infecció i desplegament de programari maliciós

Tot i que el vector d'accés inicial precís continua sense determinar, els investigadors sospiten que la campanya comença amb tàctiques de phishing basades en l'enginyeria social que finalment desencadenen l'execució d'un script maliciós de PowerShell.

La seqüència d'infecció es desenvolupa en diverses etapes:

  • L'script de PowerShell recupera i executa un fitxer per lots de Windows des d'un servidor de proves remot.
  • El fitxer per lots descarrega un fitxer DLL maliciós, normalment anomenat "propsys.dll" o "batmeter.dll".
  • La DLL, identificada com a Dohdoor, s'executa mitjançant la càrrega lateral de DLL utilitzant binaris legítims de Windows com ara "Fondue.exe", "mblctr.exe" o "ScreenClippingHost.exe".
  • Un cop activa, la porta del darrere extreu una càrrega útil secundària directament a la memòria i l'executa, que s'avalua com una balisa d'atac de Cobalt.

Aquesta cadena d'execució multicapa demostra esforços deliberats per combinar components maliciosos amb processos de sistema de confiança per evadir la detecció.

Infraestructura de comandament i control encoberta

Dohdoor aprofita DNS sobre HTTPS (DoH) per gestionar les comunicacions de comandament i control (C2). En xifrar les consultes DNS dins del trànsit HTTPS, el programari maliciós amaga les seves comunicacions dins d'un trànsit web xifrat aparentment legítim.

L'actor de l'amenaça encara més enfosqueix la infraestructura encaminant els servidors C2 a través de la xarxa de Cloudflare. Com a resultat, les comunicacions sortints dels sistemes compromesos apareixen com a trànsit HTTPS estàndard dirigit cap a una adreça IP global de confiança.

Aquest enfocament evita eficaçment els mecanismes defensius tradicionals, com ara:

  • Sistemes de detecció basats en DNS i forats de DNS
  • Eines de monitorització de xarxa que marquen cerques de domini sospitoses
  • Solucions convencionals d'anàlisi de trànsit que depenen de consultes DNS visibles

A més de les tècniques d'evasió de xarxa, Dohdoor desconnecta activament les crides del sistema a NTDLL.dll per evitar les solucions de detecció i resposta de punts finals (EDR) que es basen en la supervisió de l'API en mode d'usuari. Aquesta capacitat redueix significativament la probabilitat de detecció del comportament a nivell de punt final.

Objectius operatius i motivació financera

Actualment, no s'ha identificat cap evidència confirmada d'exfiltració de dades. A part del desplegament de Cobalt Strike Beacon com a càrrega útil de seguiment, no s'ha observat cap programari maliciós addicional en fase final.

Malgrat l'absència d'activitat de ransomware o robatori de dades fins ara, els analistes avaluen que la campanya probablement està motivada econòmicament. Aquesta conclusió es basa en el patró de victimització i el desplegament d'eines comunament associades amb marcs de postexplotació utilitzats en intrusions impulsades per la monetització.

Anàlisi d’atribució i solapaments nord-coreans

La identitat del grup darrere de l'UAT-10027 continua sent desconeguda. Tanmateix, els investigadors han identificat similituds tàctiques entre Dohdoor i LazarLoader, un programa de descàrrega atribuït anteriorment al grup d'amenaces nord-coreà Lazarus.

Tot i que existeixen solapaments tècnics amb programari maliciós vinculat a Lazarus, l'enfocament de la campanya en l'educació i l'atenció sanitària divergeix de la focalització tradicional de Lazarus en plataformes de criptomoneda i entitats relacionades amb la defensa.

No obstant això, l'activitat històrica dels actors nord-coreans d'amenaces persistents avançades (APT) revela un alineament parcial de la victimologia. Per exemple, els operadors nord-coreans han desplegat el ransomware Maui contra organitzacions sanitàries, i el grup Kimsuky ha atacat institucions educatives. Aquests precedents destaquen solapaments temàtics amb el perfil d'objectius de l'UAT-10027, tot i que no s'ha establert cap atribució definitiva.

La combinació de tècniques d'evasió sofisticades, focalització selectiva en sectors i ocultació d'infraestructures posiciona l'UAT-10027 com una amenaça significativa i en evolució que requereix una vigilància més gran en tots els sectors de serveis crítics.

Tendència

FedEx Express - Estafa per correu electrònic: els...

Phishing, Programari maliciós, Correu brossa
Mantenir-se alerta quan es tracta de correus electrònics inesperats és crucial en el panorama d'amenaces actual. Els ciberdelinqüents suplanten habitualment marques conegudes per explotar la confiança i la curiositat. Els anomenats correus electrònics "FedEx Express - Els vostres enviaments van ser rebuts" són un exemple perfecte d'aquesta tàctica. Tot i que semblen provenir d'un servei de...

Més vist

Carregant...