Slevová nabídka pro více licencí
Databáze hrozeb Zadní vrátka Dohdoor Backdoor

Dohdoor Backdoor

V roce Mezo v roce Zadní vrátka, Pokročilá trvalá hrozba (APT)
Přeložit do:

Dříve nezdokumentovaný klastr hrozeb byl spojen s probíhající škodlivou kampaní zaměřenou na sektor vzdělávání a zdravotnictví v celých Spojených státech nejméně od prosince 2025. Bezpečnostní výzkumníci sledují tuto aktivitu pod označením UAT-10027. Hlavním cílem kampaně je nasazení nově identifikovaného zadního vrátka známého jako Dohdoor.

Více vzdělávacích institucí již bylo napadeno, včetně univerzity s propojením s několika přidruženými institucemi, což naznačuje potenciálně rozšířený povrch útoku. Jako oběť bylo potvrzeno také zdravotnické zařízení specializující se na péči o seniory, což podtrhuje zaměření operace na specifický sektor.

Řetězec infekce a nasazení malwaru

Přestože přesný počáteční vektor přístupu zůstává neurčen, vyšetřovatelé mají podezření, že kampaň začíná phishingovými taktikami založenými na sociálním inženýrství, které nakonec spustí spuštění škodlivého PowerShellového skriptu.

Infekční sekvence probíhá v několika fázích:

  • Skript PowerShellu načte a spustí dávkový soubor Windows ze vzdáleného testovacího serveru.
  • Dávkový soubor poté stáhne škodlivý soubor DLL, obvykle s názvem „propsys.dll“ nebo „batmeter.dll“.
  • DLL s označením Dohdoor se spouští bočním načítáním DLL pomocí legitimních binárních souborů systému Windows, jako například „Fondue.exe“, „mblctr.exe“ nebo „ScreenClippingHost.exe“.
  • Jakmile je backdoor aktivní, stáhne sekundární datovou část přímo do paměti a spustí ji, která je vyhodnocena jako Cobalt Strike Beacon.

Tento vícevrstvý řetězec provádění demonstruje záměrné úsilí o propojení škodlivých komponent s důvěryhodnými systémovými procesy, aby se zabránilo detekci.

Tajná infrastruktura velení a řízení

Dohdoor využívá DNS-over-HTTPS (DoH) ke správě komunikace Command-and-Control (C2). Šifrováním DNS dotazů v rámci HTTPS provozu malware skrývá svou komunikaci v rámci zdánlivě legitimního šifrovaného webového provozu.

Útočník dále zakrývá infrastrukturu směrováním serverů C2 přes síť Cloudflare. V důsledku toho se odchozí komunikace z napadených systémů jeví jako standardní HTTPS provoz směřující na důvěryhodnou globální IP adresu.

Tento přístup účinně obchází tradiční obranné mechanismy, včetně:

  • Detekční systémy založené na DNS a DNS sinkholes
  • Nástroje pro monitorování sítě, které označují podezřelé vyhledávání domén
  • Konvenční řešení pro analýzu provozu závislá na viditelných DNS dotazech

    • Kromě technik obcházení sítě Dohdoor aktivně odpojuje systémová volání v souboru NTDLL.dll, aby obešel řešení detekce a odezvy na koncových bodech (EDR), která se spoléhají na monitorování API v uživatelském režimu. Tato funkce výrazně snižuje pravděpodobnost detekce chování na úrovni koncových bodů.

    Provozní cíle a finanční motivace

    V současné době nebyly identifikovány žádné potvrzené důkazy o úniku dat. Kromě nasazení Cobalt Strike Beacon jako následného užitečného zatížení nebyl pozorován žádný další malware v závěrečné fázi.

    Přestože dosud nedošlo k ransomwaru ani k krádeži dat, analytici odhadují, že kampaň je pravděpodobně finančně motivována. Tento závěr je založen na vzorci viktimologie a nasazení nástrojů běžně spojovaných s post-exploitačními systémy používanými při monetizačních útokech.

    Analýza atribuce a překrývání v Severní Koreji

    Identita skupiny stojící za UAT-10027 zůstává neznámá. Výzkumníci však identifikovali taktické podobnosti mezi Dohdoorem a LazarLoaderem, stahovacím programem dříve připisovaným severokorejské skupině Lazarus.

    I když existují technické překryvy s malwarem propojeným s Lazarusem, zaměření kampaně na vzdělávání a zdravotnictví se odchyluje od tradičního cílení kampaně Lazarus na kryptoměnové platformy a subjekty související s obranou.

    Historická aktivita severokorejských aktérů pokročilých perzistentních hrozeb (APT) nicméně odhaluje částečnou shodu s viktimologií. Například severokorejští operátoři nasadili ransomware Maui proti zdravotnickým organizacím a skupina Kimsuky se zaměřila na vzdělávací instituce. Tyto precedenty zdůrazňují tematické překrývání s profilem cílení UAT-10027, ačkoli definitivní atribuce nebyla stanovena.

    Kombinace sofistikovaných technik úniku, selektivního cílení na sektory a maskování infrastruktury staví UAT-10027 mezi významnou a vyvíjející se hrozbu vyžadující zvýšenou ostražitost v kritických sektorech služeb.

    Trendy

    FedEx Express - Vaše zásilky byly přijaty e-mailem...

    Phishing, Malware, Spam
    V dnešní době hrozeb je při řešení neočekávaných e-mailů klíčové zůstat ostražitý. Kyberzločinci se běžně vydávají za známé značky, aby zneužili důvěry a zvědavosti. Takzvané e-maily s textem „FedEx Express – Vaše zásilky byly přijaty“ jsou ukázkovým příkladem této taktiky. Ačkoli se zdá, že pocházejí od legitimní kurýrní služby, tyto zprávy nejsou spojeny s žádnou skutečnou společností,...

    Nejvíce shlédnuto

    Načítání...