قیمت چند مجوز تخفیف
پایگاه داده تهدید درهای پشتی Dohdoor Backdoor

Dohdoor Backdoor

تا Mezo در درهای پشتی, تهدید مداوم پیشرفته (APT)
ترجمه به:

یک خوشه فعالیت تهدیدآمیز که قبلاً مستند نشده بود، به یک کمپین مخرب مداوم که بخش‌های آموزش و مراقبت‌های بهداشتی را در سراسر ایالات متحده هدف قرار می‌دهد، حداقل از دسامبر ۲۰۲۵ مرتبط شده است. محققان امنیتی این فعالیت را تحت عنوان UAT-10027 ردیابی می‌کنند. هدف اصلی این کمپین، استقرار یک درب پشتی تازه شناسایی شده به نام Dohdoor است.

چندین موسسه آموزشی از جمله یک دانشگاه که به چندین موسسه وابسته متصل است، قبلاً مورد حمله قرار گرفته‌اند که نشان می‌دهد سطح حمله بالقوه گسترده‌تر شده است. یک مرکز مراقبت‌های بهداشتی متخصص در مراقبت از سالمندان نیز به عنوان قربانی تأیید شده است که تمرکز خاص این عملیات را بر این بخش نشان می‌دهد.

زنجیره آلودگی و استقرار بدافزار

اگرچه مسیر دسترسی اولیه دقیق هنوز مشخص نشده است، اما محققان گمان می‌کنند که این کمپین با تاکتیک‌های فیشینگ مبتنی بر مهندسی اجتماعی آغاز می‌شود که در نهایت باعث اجرای یک اسکریپت مخرب PowerShell می‌شود.

توالی عفونت در چندین مرحله آشکار می‌شود:

  • اسکریپت PowerShell یک فایل دسته‌ای ویندوز را از یک سرور راه‌اندازی از راه دور بازیابی و اجرا می‌کند.
  • سپس این فایل دسته‌ای، یک فایل DLL مخرب را دانلود می‌کند که معمولاً «propsys.dll» یا «batmeter.dll» نام دارد.
  • این DLL که با نام Dohdoor شناسایی شده است، از طریق بارگذاری جانبی DLL با استفاده از فایل‌های باینری قانونی ویندوز مانند 'Fondue.exe'، 'mblctr.exe' یا 'ScreenClippingHost.exe' اجرا می‌شود.
  • پس از فعال شدن، این درب پشتی یک payload ثانویه را مستقیماً به حافظه منتقل کرده و آن را اجرا می‌کند که به عنوان یک Cobalt Strike Beacon ارزیابی می‌شود.

این زنجیره اجرای چندلایه، تلاش‌های عمدی برای ترکیب اجزای مخرب با فرآیندهای سیستم مورد اعتماد برای جلوگیری از شناسایی را نشان می‌دهد.

زیرساخت فرماندهی و کنترل پنهان

Dohdoor از DNS-over-HTTPS (DoH) برای مدیریت ارتباطات فرماندهی و کنترل (C2) استفاده می‌کند. این بدافزار با رمزگذاری کوئری‌های DNS در ترافیک HTTPS، ارتباطات خود را در ترافیک وب رمزگذاری‌شده‌ی به ظاهر قانونی پنهان می‌کند.

این عامل تهدید با مسیریابی سرورهای C2 از طریق شبکه Cloudflare، زیرساخت را بیشتر مبهم می‌کند. در نتیجه، ارتباطات خروجی از سیستم‌های آسیب‌دیده به عنوان ترافیک استاندارد HTTPS به سمت یک آدرس IP جهانی قابل اعتماد هدایت می‌شوند.

این رویکرد به طور مؤثر مکانیسم‌های دفاعی سنتی را دور می‌زند، از جمله:

  • سیستم‌های تشخیص مبتنی بر DNS و حفره‌های DNS
  • ابزارهای نظارت بر شبکه که جستجوهای مشکوک دامنه را علامت‌گذاری می‌کنند
  • راهکارهای مرسوم تحلیل ترافیک متکی بر کوئری‌های DNS قابل مشاهده

علاوه بر تکنیک‌های گریز از شبکه، Dohdoor به طور فعال فراخوانی‌های سیستمی NTDLL.dll را غیرفعال می‌کند تا راه‌حل‌های تشخیص و پاسخ نقطه پایانی (EDR) را که به نظارت API در حالت کاربر متکی هستند، دور بزند. این قابلیت احتمال تشخیص رفتاری را در سطح نقطه پایانی به میزان قابل توجهی کاهش می‌دهد.

اهداف عملیاتی و انگیزه مالی

در حال حاضر، هیچ مدرک تایید شده‌ای مبنی بر خروج داده‌ها شناسایی نشده است. گذشته از استقرار Cobalt Strike Beacon به عنوان یک payload بعدی، هیچ بدافزار مرحله نهایی دیگری مشاهده نشده است.

علیرغم عدم وجود باج‌افزار یا فعالیت سرقت اطلاعات تاکنون، تحلیلگران ارزیابی می‌کنند که این کمپین احتمالاً انگیزه مالی دارد. این نتیجه‌گیری بر اساس الگوی قربانی‌شناسی و به‌کارگیری ابزارهایی است که معمولاً با چارچوب‌های پس از بهره‌برداری مرتبط هستند و در نفوذهای مبتنی بر کسب درآمد استفاده می‌شوند.

تحلیل انتساب و همپوشانی‌های کره شمالی

هویت گروه پشت UAT-10027 هنوز ناشناخته است. با این حال، محققان شباهت‌های تاکتیکی بین Dohdoor و LazarLoader، دانلودکننده‌ای که قبلاً به گروه تهدید کره شمالی Lazarus نسبت داده شده بود، شناسایی کرده‌اند.

اگرچه همپوشانی‌های فنی با بدافزارهای مرتبط با لازاروس وجود دارد، تمرکز این کمپین بر آموزش و مراقبت‌های بهداشتی با هدف قرار دادن سنتی لازاروس که پلتفرم‌های ارز دیجیتال و نهادهای مرتبط با دفاع را هدف قرار می‌داد، متفاوت است.

با این وجود، فعالیت‌های پیشین عوامل تهدید پیشرفته مداوم (APT) کره شمالی، همسویی نسبی در قربانی‌شناسی را نشان می‌دهد. به عنوان مثال، اپراتورهای کره شمالی باج‌افزار Maui را علیه سازمان‌های مراقبت‌های بهداشتی مستقر کرده‌اند و گروه Kimsuky مؤسسات آموزشی را هدف قرار داده است. این سوابق، همپوشانی‌های موضوعی با مشخصات هدف‌گیری UAT-10027 را برجسته می‌کند، اگرچه هیچ انتساب قطعی مشخص نشده است.

ترکیبی از تکنیک‌های پیشرفته‌ی گریز، هدف‌گیری گزینشی بخش‌ها و پنهان‌سازی زیرساخت‌ها، UAT-10027 را به عنوان یک تهدید مهم و در حال تحول قرار می‌دهد که نیاز به هوشیاری بیشتر در بخش‌های خدماتی حیاتی دارد.

پرطرفدار

کلاهبرداری ایمیلی FedEx Express - محموله‌های شما...

فیشینگ, بدافزار, هرزنامه
هوشیاری در مواجهه با ایمیل‌های غیرمنتظره در چشم‌انداز تهدیدهای امروزی بسیار مهم است. مجرمان سایبری معمولاً برای سوءاستفاده از اعتماد و کنجکاوی، هویت برندهای شناخته‌شده را جعل می‌کنند. ایمیل‌های موسوم به «فدکس اکسپرس - محموله‌های شما دریافت شد» نمونه بارز این تاکتیک هستند. اگرچه به نظر می‌رسد از یک سرویس پیک قانونی ارسال می‌شوند، اما این پیام‌ها به هیچ شرکت، سازمان یا نهاد واقعی مرتبط نیستند. در...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
23,491
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...