Dohdoor Backdoor
Ένα προηγουμένως μη καταγεγραμμένο σύμπλεγμα απειλητικής δραστηριότητας έχει συνδεθεί με μια συνεχιζόμενη κακόβουλη εκστρατεία που στοχεύει τους τομείς της εκπαίδευσης και της υγειονομικής περίθαλψης σε όλες τις Ηνωμένες Πολιτείες τουλάχιστον από τον Δεκέμβριο του 2025. Οι ερευνητές ασφαλείας παρακολουθούν αυτήν τη δραστηριότητα με την ονομασία UAT-10027. Ο κύριος στόχος της εκστρατείας είναι η ανάπτυξη ενός πρόσφατα αναγνωρισμένου backdoor, γνωστού ως Dohdoor.
Πολλά εκπαιδευτικά ιδρύματα έχουν ήδη παραβιαστεί, συμπεριλαμβανομένου ενός πανεπιστημίου με δυνατότητα σύνδεσης με πολλά συνδεδεμένα ιδρύματα, γεγονός που υποδηλώνει μια πιθανώς εκτεταμένη περιοχή επίθεσης. Μια μονάδα υγειονομικής περίθαλψης που ειδικεύεται στη φροντίδα ηλικιωμένων έχει επίσης επιβεβαιωθεί ως θύμα, υπογραμμίζοντας την εστίαση της επιχείρησης στον συγκεκριμένο τομέα.
Πίνακας περιεχομένων
Αλυσίδα μόλυνσης και ανάπτυξη κακόβουλου λογισμικού
Παρόλο που ο ακριβής αρχικός φορέας πρόσβασης παραμένει απροσδιόριστος, οι ερευνητές υποψιάζονται ότι η καμπάνια ξεκινά με τακτικές ηλεκτρονικού "ψαρέματος" (phishing) που βασίζονται στην κοινωνική μηχανική και τελικά ενεργοποιούν την εκτέλεση ενός κακόβουλου σεναρίου PowerShell.
Η διαδικασία της μόλυνσης εξελίσσεται σε πολλά στάδια:
- Η δέσμη ενεργειών PowerShell ανακτά και εκτελεί ένα αρχείο δέσμης των Windows από έναν απομακρυσμένο διακομιστή προετοιμασίας.
- Στη συνέχεια, το αρχείο δέσμης κατεβάζει ένα κακόβουλο αρχείο DLL, το οποίο συνήθως ονομάζεται 'propsys.dll' ή 'batmeter.dll'.
- Το DLL, που αναγνωρίζεται ως Dohdoor, εκτελείται μέσω πλευρικής φόρτωσης DLL χρησιμοποιώντας νόμιμα δυαδικά αρχεία των Windows, όπως 'Fondue.exe', 'mblctr.exe' ή 'ScreenClippingHost.exe'.
- Μόλις ενεργοποιηθεί, η κερκόπορτα τραβάει ένα δευτερεύον ωφέλιμο φορτίο απευθείας στη μνήμη και το εκτελεί, το οποίο αξιολογείται ως Cobalt Strike Beacon.
Αυτή η πολυεπίπεδη αλυσίδα εκτέλεσης καταδεικνύει σκόπιμες προσπάθειες συνδυασμού κακόβουλων στοιχείων με αξιόπιστες διαδικασίες συστήματος για την αποφυγή ανίχνευσης.
Μυστική Υποδομή Διοίκησης και Ελέγχου
Το Dohdoor αξιοποιεί το DNS-over-HTTPS (DoH) για τη διαχείριση των επικοινωνιών Command-and-Control (C2). Κρυπτογραφώντας ερωτήματα DNS εντός της κίνησης HTTPS, το κακόβουλο λογισμικό αποκρύπτει τις επικοινωνίες του εντός φαινομενικά νόμιμης κρυπτογραφημένης κίνησης ιστού.
Ο απειλητικός παράγοντας αποκρύπτει περαιτέρω την υποδομή δρομολογώντας διακομιστές C2 μέσω του δικτύου της Cloudflare. Ως αποτέλεσμα, οι εξερχόμενες επικοινωνίες από παραβιασμένα συστήματα εμφανίζονται ως τυπική κίνηση HTTPS που κατευθύνεται προς μια αξιόπιστη παγκόσμια διεύθυνση IP.
Αυτή η προσέγγιση παρακάμπτει αποτελεσματικά τους παραδοσιακούς αμυντικούς μηχανισμούς, όπως:
- Συστήματα ανίχνευσης που βασίζονται σε DNS και καταβόθρες DNS
Εκτός από τις τεχνικές αποφυγής δικτύου, το Dohdoor αποσυνδέει ενεργά τις κλήσεις συστήματος στο NTDLL.dll για να παρακάμψει τις λύσεις ανίχνευσης και απόκρισης τελικού σημείου (EDR) που βασίζονται στην παρακολούθηση API λειτουργίας χρήστη. Αυτή η δυνατότητα μειώνει σημαντικά την πιθανότητα ανίχνευσης συμπεριφοράς σε επίπεδο τελικού σημείου.
Επιχειρησιακοί Στόχοι και Οικονομικά Κίνητρα
Προς το παρόν, δεν έχουν εντοπιστεί επιβεβαιωμένα στοιχεία για την εξαγωγή δεδομένων. Εκτός από την ανάπτυξη του Cobalt Strike Beacon ως επόμενου ωφέλιμου φορτίου, δεν έχει παρατηρηθεί κανένα επιπλέον κακόβουλο λογισμικό τελικού σταδίου.
Παρά την απουσία μέχρι στιγμής δραστηριότητας ransomware ή κλοπής δεδομένων, οι αναλυτές εκτιμούν ότι η εκστρατεία πιθανότατα έχει οικονομικά κίνητρα. Αυτό το συμπέρασμα βασίζεται στο μοτίβο θυματολογίας και στην ανάπτυξη εργαλείων που συνήθως συνδέονται με πλαίσια μετά την εκμετάλλευση που χρησιμοποιούνται σε εισβολές που βασίζονται σε νομισματοποίηση.
Ανάλυση απόδοσης και επικαλύψεις στη Βόρεια Κορέα
Η ταυτότητα της ομάδας πίσω από το UAT-10027 παραμένει άγνωστη. Ωστόσο, οι ερευνητές έχουν εντοπίσει τακτικές ομοιότητες μεταξύ του Dohdoor και του LazarLoader, ενός downloader που προηγουμένως είχε αποδοθεί στην βορειοκορεατική απειλητική ομάδα Lazarus.
Ενώ υπάρχουν τεχνικές επικαλύψεις με κακόβουλο λογισμικό που συνδέεται με το Lazarus, η εστίαση της καμπάνιας στην εκπαίδευση και την υγειονομική περίθαλψη αποκλίνει από την παραδοσιακή στόχευση πλατφορμών κρυπτονομισμάτων και οντοτήτων που σχετίζονται με την άμυνα από το Lazarus.
Παρ 'όλα αυτά, η ιστορική δραστηριότητα από βορειοκορεάτες φορείς προηγμένων μόνιμων απειλών (APT) αποκαλύπτει μερική ευθυγράμμιση με τη θυματολογία. Για παράδειγμα, βορειοκορεάτες φορείς εκμετάλλευσης έχουν αναπτύξει ransomware στο Maui εναντίον οργανισμών υγειονομικής περίθαλψης και η ομάδα Kimsuky έχει στοχεύσει εκπαιδευτικά ιδρύματα. Αυτά τα προηγούμενα υπογραμμίζουν θεματικές επικαλύψεις με το προφίλ στόχευσης του UAT-10027, αν και δεν έχει τεκμηριωθεί οριστική απόδοση.
Ο συνδυασμός εξελιγμένων τεχνικών αποφυγής, επιλεκτικής στόχευσης τομέων και απόκρυψης υποδομών καθιστά το UAT-10027 μια σημαντική και εξελισσόμενη απειλή που απαιτεί αυξημένη επαγρύπνηση σε κρίσιμους τομείς υπηρεσιών.
