Monen lisenssin alennustarjous
Uhatietokanta Takaovet Dohdoorin takaovi

Dohdoorin takaovi

Vuonna Mezo vuonna Takaovet, Advanced Persistent Threat (APT)
Käännä:

Aiemmin dokumentoimaton uhkatoimintarypäs on yhdistetty käynnissä olevaan haitalliseen kampanjaan, joka on kohdistunut koulutus- ja terveydenhuoltoaloihin Yhdysvalloissa ainakin joulukuusta 2025 lähtien. Tietoturvatutkijat seuraavat tätä toimintaa nimikkeellä UAT-10027. Kampanjan ensisijainen tavoite on ottaa käyttöön äskettäin tunnistettu Dohdoor-niminen takaovi.

Useita oppilaitoksia, mukaan lukien yliopisto, jolla on yhteydet useisiin sidoslaitoksiin, on jo vaarantunut, mikä viittaa mahdolliseen hyökkäyspinnan laajenemiseen. Myös vanhustenhoitoon erikoistuneen terveydenhuollon laitoksen on vahvistettu joutuvan uhriksi, mikä korostaa operaation toimialakohtaista painotusta.

Tartuntaketju ja haittaohjelmien käyttöönotto

Vaikka tarkka alkuperäinen käyttövektori on edelleen epäselvä, tutkijat epäilevät, että kampanja alkaa sosiaaliseen manipulointiin perustuvilla tietojenkalastelutaktiikoilla, jotka lopulta laukaisevat haitallisen PowerShell-skriptin suorittamisen.

Infektioprosessi etenee useissa vaiheissa:

  • PowerShell-skripti hakee ja suorittaa Windows-eräajotiedoston etävalmiuspalvelimelta.
  • Erätiedosto lataa sitten haitallisen DLL-tiedoston, jonka nimi on yleensä 'propsys.dll' tai 'batmeter.dll'.
  • Dohdoor-niminen DLL-tiedosto suoritetaan DLL-sivulatauksen kautta käyttämällä laillisia Windows-binääritiedostoja, kuten 'Fondue.exe', 'mblctr.exe' tai 'ScreenClippingHost.exe'.
  • Kun takaovi on aktiivinen, se vetää toissijaisen hyötykuorman suoraan muistiin ja suorittaa sen, jonka arvioidaan olevan Cobalt Strike Beacon.

Tämä monikerroksinen suoritusketju osoittaa tarkoituksellisia pyrkimyksiä yhdistää haitallisia komponentteja luotettaviin järjestelmäprosesseihin havaitsemisen välttämiseksi.

Salainen komento- ja valvontainfrastruktuuri

Dohdoor hyödyntää DNS-over-HTTPS (DoH) -protokollaa komento- ja hallintatiedonsiirtoon (C2). Salaamalla DNS-kyselyt HTTPS-liikenteessä haittaohjelma kätkee tietoliikennettä näennäisesti laillisen salatun verkkoliikenteen sisällä.

Uhkatoimija hämärtää infrastruktuuria entisestään reitittämällä C2-palvelimia Cloudflaren verkon kautta. Tämän seurauksena vaarantuneista järjestelmistä lähtevä tietoliikenne näkyy tavallisena HTTPS-liikenteenä, joka on suunnattu luotettavaan globaaliin IP-osoitteeseen.

Tämä lähestymistapa ohittaa tehokkaasti perinteiset puolustusmekanismit, mukaan lukien:

  • DNS-pohjaiset tunnistusjärjestelmät ja DNS-sinkholet
  • Verkonvalvontatyökalut, jotka merkitsevät epäilyttävät verkkotunnushaut
  • Perinteiset liikenneanalyysiratkaisut, jotka ovat riippuvaisia näkyvistä DNS-kyselyistä

Verkon väistötekniikoiden lisäksi Dohdoor purkaa aktiivisesti NTDLL.dll-tiedostossa olevia järjestelmäkutsuja ohittaakseen käyttäjätilan API-valvontaan perustuvia päätepisteiden tunnistus- ja vasteratkaisuja (EDR). Tämä ominaisuus vähentää merkittävästi käyttäytymisen havaitsemisen todennäköisyyttä päätepistetasolla.

Toiminnalliset tavoitteet ja taloudellinen motivaatio

Tällä hetkellä ei ole havaittu vahvistettuja todisteita tietojen vuotamisesta. Cobalt Strike Beaconin käyttöönoton lisäksi jatkohyötykuormana ei ole havaittu muita viimeisen vaiheen haittaohjelmia.

Vaikka kiristyshaittaohjelmia tai tietovarkauksia ei toistaiseksi ole havaittu, analyytikot arvioivat kampanjan olevan todennäköisesti taloudellisesti motivoitunut. Tämä johtopäätös perustuu uhritutkimusmalliin ja työkalujen käyttöön, jotka ovat yleisesti yhdistettyjä hyväksikäytön jälkeisiin viitekehyksiin rahaksi muuttamisen tarkoituksiin käytettävissä hyökkäyksissä.

Attribuutioanalyysi ja Pohjois-Korean päällekkäisyydet

UAT-10027:n takana olevan ryhmän henkilöllisyys on edelleen tuntematon. Tutkijat ovat kuitenkin havainneet taktisia yhtäläisyyksiä Dohdoorin ja LazarLoaderin välillä. LazarLoader on aiemmin pohjoiskorealaiseen Lazarus-uhkaryhmään liitetty latausohjelma.

Vaikka teknisiä päällekkäisyyksiä Lazarukseen liittyvien haittaohjelmien kanssa on, kampanjan keskittyminen koulutukseen ja terveydenhuoltoon eroaa Lazaruksen perinteisestä kohdistamisesta kryptovaluutta-alustoihin ja puolustukseen liittyviin tahoihin.

Pohjois-Korean edistyneiden jatkuvien uhkien (APT) toimijoiden historiallinen toiminta paljastaa kuitenkin osittaisen yhdenmukaisuuden uhritutkimusten kanssa. Esimerkiksi pohjoiskorealaiset toimijat ovat käyttäneet Maui-kiristyshaittaohjelmia terveydenhuolto-organisaatioita vastaan, ja Kimsuky-ryhmä on kohdistanut iskuja oppilaitoksiin. Nämä ennakkotapaukset korostavat temaattisia päällekkäisyyksiä UAT-10027:n kohdistusprofiilin kanssa, vaikka lopullista osuutta ei ole vahvistettu.

Hienostuneiden väistötekniikoiden, valikoivan sektorien kohdentamisen ja infrastruktuurin peittämisen yhdistelmä tekee UAT-10027:stä merkittävän ja kehittyvän uhkan, joka vaatii tehostettua valppautta kriittisillä palvelualoilla.

Trendaavat

FedEx Express - Lähetyksesi vastaanotettiin...

Tietojenkalastelu, Haittaohjelma, Roskaposti
Valppaana pysyminen odottamattomien sähköpostien käsittelyssä on ratkaisevan tärkeää nykypäivän uhkakuvassa. Kyberrikolliset esiintyvät usein tunnettuina tuotemerkkeinä hyödyntääkseen luottamusta ja uteliaisuutta. Niin kutsutut "FedEx Express - Lähetyksesi vastaanotettu" -sähköpostit ovat erinomainen esimerkki tästä taktiikasta. Vaikka ne näyttävät tulevan lailliselta kuriiripalvelulta, näitä...

Eniten katsottu

Ladataan...