Rabattilbud med flere licenser
Trusseldatabase Bagdøre Dohdoor Bagdør

Dohdoor Bagdør

Med Mezo i Bagdøre, Advanced Persistent Threat (APT)
Oversæt til:

En tidligere udokumenteret trusselsaktivitetsklynge er blevet forbundet med en igangværende ondsindet kampagne rettet mod uddannelses- og sundhedssektoren i hele USA siden mindst december 2025. Sikkerhedsforskere sporer denne aktivitet under betegnelsen UAT-10027. Kampagnens primære mål er at implementere en nyligt identificeret bagdør kendt som Dohdoor.

Flere uddannelsesinstitutioner er allerede blevet kompromitteret, herunder et universitet med forbindelse til flere tilknyttede institutioner, hvilket tyder på en potentielt udvidet angrebsflade. En sundhedsfacilitet med speciale i ældrepleje er også blevet bekræftet som offer, hvilket understreger operationens sektorspecifikke fokus.

Infektionskæde og malwareimplementering

Selvom den præcise indledende adgangsvektor stadig er ukendt, mistænker efterforskerne, at kampagnen begynder med phishing-taktikker baseret på social engineering, der i sidste ende udløser udførelsen af et ondsindet PowerShell-script.

Infektionsforløbet forløber i flere faser:

  • PowerShell-scriptet henter og udfører en Windows-batchfil fra en fjernstaging-server.
  • Batchfilen downloader derefter en skadelig DLL-fil, typisk kaldet 'propsys.dll' eller 'batmeter.dll'.
  • DLL'en, identificeret som Dohdoor, udføres via DLL-sideloading ved hjælp af legitime Windows-binære filer såsom 'Fondue.exe', 'mblctr.exe' eller 'ScreenClippingHost.exe'.
  • Når den er aktiv, trækker bagdøren en sekundær nyttelast direkte ind i hukommelsen og udfører den, hvilket vurderes at være en Cobalt Strike Beacon.

Denne flerlagede udførelseskæde demonstrerer bevidste bestræbelser på at blande ondsindede komponenter med betroede systemprocesser for at undgå detektion.

Hemmelig kommando- og kontrolinfrastruktur

Dohdoor udnytter DNS-over-HTTPS (DoH) til at administrere Command-and-Control (C2) kommunikation. Ved at kryptere DNS-forespørgsler i HTTPS-trafik skjuler malwaren sin kommunikation i tilsyneladende legitim krypteret webtrafik.

Trusselsaktøren tilslører yderligere infrastrukturen ved at route C2-servere gennem Cloudflares netværk. Som følge heraf fremstår udgående kommunikation fra kompromitterede systemer som standard HTTPS-trafik rettet mod en betroet global IP-adresse.

Denne tilgang omgår effektivt traditionelle forsvarsmekanismer, herunder:

  • DNS-baserede detektionssystemer og DNS-jordfaldshuller
  • Netværksovervågningsværktøjer, der markerer mistænkelige domæneopslag
  • Konventionelle trafikanalyseløsninger, der er afhængige af synlige DNS-forespørgsler

Udover netværksundgåelsesteknikker afbryder Dohdoor aktivt systemkald i NTDLL.dll for at omgå EDR-løsninger (endpoint detection and response), der er afhængige af API-overvågning i brugertilstand. Denne funktion reducerer sandsynligheden for adfærdsdetektion på endpointniveau betydeligt.

Operationelle mål og økonomisk motivation

Der er i øjeblikket ikke identificeret bekræftede beviser for dataudvinding. Udover implementeringen af Cobalt Strike Beacon som en efterfølgende nyttelast er der ikke observeret yderligere malware i sidste fase.

Trods fraværet af ransomware eller datatyveri indtil videre vurderer analytikere, at kampagnen sandsynligvis er økonomisk motiveret. Denne konklusion er baseret på offermønsteret og implementeringen af værktøjer, der almindeligvis forbindes med post-exploitation frameworks, der bruges i monetiseringsdrevne indbrud.

Attribueringsanalyse og nordkoreanske overlap

Identiteten af gruppen bag UAT-10027 er fortsat ukendt. Forskere har dog identificeret taktiske ligheder mellem Dohdoor og LazarLoader, en downloader, der tidligere blev tilskrevet den nordkoreanske trusselgruppe Lazarus.

Selvom der findes tekniske overlapninger med Lazarus-relateret malware, afviger kampagnens fokus på uddannelse og sundhedspleje fra Lazarus' traditionelle målretning af kryptovalutaplatforme og forsvarsrelaterede enheder.

Ikke desto mindre afslører historisk aktivitet fra nordkoreanske aktører, der fokuserer på avancerede vedvarende trusler (APT), delvis overensstemmelse med offersystemet. For eksempel har nordkoreanske operatører implementeret Maui-ransomware mod sundhedsorganisationer, og gruppen Kimsuky har målrettet uddannelsesinstitutioner. Disse præcedenser fremhæver tematiske overlap med UAT-10027's målretningsprofil, selvom der ikke er fastslået nogen endelig tilskrivning.

Kombinationen af sofistikerede undvigelsesteknikker, selektiv sektormålretning og skjuling af infrastruktur positionerer UAT-10027 som en betydelig og udviklende trussel, der kræver øget årvågenhed på tværs af kritiske servicesektorer.

Trending

Mest sete

Indlæser...