Dohdoor Backdoor
Varem dokumenteerimata ohutegevuse klaster on seostatud käimasoleva pahatahtliku kampaaniaga, mis on suunatud haridus- ja tervishoiusektorile kogu Ameerika Ühendriikides vähemalt alates 2025. aasta detsembrist. Turvauurijad jälgivad seda tegevust tähise UAT-10027 all. Kampaania peamine eesmärk on kasutusele võtta äsja tuvastatud tagauks, mida tuntakse Dohdoorina.
Mitmed haridusasutused, sealhulgas ülikool, millel on ühendus mitme sidusasutusega, on juba sattunud ohtu, mis viitab potentsiaalselt laienenud rünnakupinnale. Samuti on kinnitust leidnud eakate hooldusele spetsialiseerunud tervishoiuasutus ohvrina, mis rõhutab operatsiooni valdkonnapõhist fookust.
Sisukord
Nakkusahel ja pahavara juurutamine
Kuigi täpne algne ligipääsu vektor on endiselt määramata, kahtlustavad uurijad, et kampaania algab sotsiaalse manipuleerimise põhise andmepüügi taktikaga, mis lõpuks käivitab pahatahtliku PowerShelli skripti käivitamise.
Infektsiooniprotsess läbib mitu etappi:
- PowerShelli skript hangib ja käivitab Windowsi pakkfaili kaug-lavastusserverist.
- Seejärel laadib pakkfail alla pahatahtliku DLL-faili, mille nimi on tavaliselt „propsys.dll” või „batmeter.dll”.
- DLL-fail, mida identifitseeritakse kui Dohdoor, käivitatakse DLL-i külglaadimise teel, kasutades legitiimseid Windowsi binaarfaile, näiteks „Fondue.exe”, „mblctr.exe” või „ScreenClippingHost.exe”.
- Kui tagauks on aktiivne, tõmbab see otse mällu teisese koormuse ja käivitab selle, mis hinnatakse Cobalt Strike Beaconiks.
See mitmekihiline täitmisahel näitab teadlikke püüdlusi ühendada pahatahtlikke komponente usaldusväärsete süsteemiprotsessidega, et avastamist vältida.
Salajane juhtimis- ja kontrollinfrastruktuur
Dohdoor kasutab käsu- ja juhtimissüsteemi (C2) kommunikatsiooni haldamiseks DNS-over-HTTPS-i (DoH). HTTPS-liikluses DNS-päringute krüpteerimisega varjab pahavara oma sidet pealtnäha legitiimse krüptitud veebiliikluse sees.
Ohu tekitaja varjab infrastruktuuri veelgi, suunates C2-serverid Cloudflare'i võrgu kaudu. Selle tulemusel kuvatakse ohustatud süsteemidest väljuvat sidet tavalise HTTPS-liiklusena, mis on suunatud usaldusväärsele globaalsele IP-aadressile.
See lähenemisviis möödub tõhusalt traditsioonilistest kaitsemehhanismidest, sealhulgas:
- DNS-põhised tuvastussüsteemid ja DNS-i sinkholes
- Võrgu jälgimise tööriistad, mis märgistavad kahtlaseid domeeniotsinguid
- Tavapärased liikluse analüüsi lahendused, mis tuginevad nähtavatele DNS-päringutele
Lisaks võrgust kõrvalehoidumise tehnikatele lahutab Dohdoor aktiivselt NTDLL.dll-is olevad süsteemikõned, et mööda hiilida lõpp-punkti tuvastamise ja reageerimise (EDR) lahendustest, mis tuginevad kasutajarežiimi API jälgimisele. See võimekus vähendab oluliselt käitumise tuvastamise tõenäosust lõpp-punkti tasandil.
Tegevuseesmärgid ja rahaline motivatsioon
Praegu pole kinnitatud tõendeid andmete lekkimise kohta tuvastatud. Lisaks Cobalt Strike Beaconi kasutuselevõtule järelprogrammina pole täiendavat viimase etapi pahavara täheldatud.
Kuigi lunavara või andmevarguse aktsiooni seni pole esinenud, hindavad analüütikud, et kampaania on tõenäoliselt rahaliselt motiveeritud. See järeldus põhineb ohvrite uurimise mustril ja tööriistade kasutamisel, mida tavaliselt seostatakse raha teenimise eesmärgil sissetungides kasutatavate järelkasutamise raamistikega.
Atributsioonianalüüs ja Põhja-Korea kattuvused
UAT-10027 taga oleva rühmituse identiteet on endiselt teadmata. Teadlased on aga tuvastanud taktikalisi sarnasusi Dohdoori ja LazarLoaderi vahel – allalaadija, mida varem seostati Põhja-Korea ohurühmitusega Lazarus.
Kuigi tehnilised kattuvused Lazarusega seotud pahavaraga esinevad, erineb kampaania haridusele ja tervishoiule keskendumine Lazaruse traditsioonilisest krüptovaluutaplatvormide ja kaitsega seotud üksuste sihtimisest.
Sellest hoolimata näitab Põhja-Korea edasijõudnud püsiva ohu (APT) rühmituste ajalooline tegevus osalist ohvrite omavahelise seotust. Näiteks on Põhja-Korea operaatorid kasutanud Maui lunavara tervishoiuorganisatsioonide vastu ja Kimsuky rühmitus on sihikule võtnud haridusasutusi. Need pretsedendid toovad esile temaatilisi kattumisi UAT-10027 sihtimisprofiiliga, kuigi lõplikku omistamist pole veel kindlaks tehtud.
Keerukate kõrvalehoidumistehnikate, valikulise sektori sihtimise ja infrastruktuuri varjamise kombinatsioon seab UAT-10027 oluliseks ja pidevalt arenevaks ohuks, mis nõuab kõrgendatud valvsust kõigis kriitilistes teenindussektorites.
