Dohdoor Backdoor

אשכול פעילות איומים שלא תועד בעבר נקשר לקמפיין זדוני מתמשך המכוון למגזרי החינוך והבריאות ברחבי ארצות הברית לפחות מדצמבר 2025. חוקרי אבטחה עוקבים אחר פעילות זו תחת הסימון UAT-10027. המטרה העיקרית של הקמפיין היא לפרוס דלת אחורית שזוהתה לאחרונה המכונה Dohdoor.

מספר מוסדות חינוך כבר נפגעו, כולל אוניברסיטה עם קישוריות למספר מוסדות קשורים, דבר המצביע על פוטנציאל מורחב של שטח התקיפה. מוסד רפואי המתמחה בטיפול בקשישים אושר גם הוא כקורבן, דבר המדגיש את המיקוד הספציפי למגזר של המבצע.

שרשרת הדבקה ופריסה של תוכנות זדוניות

למרות שוויקטור הגישה הראשוני המדויק נותר לא ידוע, החוקרים חושדים שהקמפיין מתחיל בטקטיקות פישינג מבוססות הנדסה חברתית שבסופו של דבר מפעילות סקריפט PowerShell זדוני.

רצף ההדבקה מתפתח במספר שלבים:

• סקריפט PowerShell מאחזר ומבצע קובץ אצווה של Windows משרת staging מרוחק.
• קובץ האצווה מוריד לאחר מכן קובץ DLL זדוני, שבדרך כלל נקרא 'propsys.dll' או 'batmeter.dll'.
• קובץ ה-DLL, המזוהה כ-Dohdoor, מבוצע באמצעות טעינה צדדית של DLL באמצעות קבצים בינאריים לגיטימיים של Windows כגון 'Fondue.exe', 'mblctr.exe' או 'ScreenClippingHost.exe'.
• לאחר הפעלתה, הדלת האחורית מושכת מטען משני ישירות לזיכרון ומבצעת אותו, המוערך כמשואה של קובלט סטרייק.

שרשרת ביצוע רב-שכבתית זו מדגימה מאמצים מכוונים לשלב רכיבים זדוניים עם תהליכי מערכת מהימנים כדי להתחמק מגילוי.

תשתית פיקוד ושליטה חשאית

Dohdoor ממנפת את DNS-over-HTTPS (DoH) לניהול תקשורת פיקוד ובקרה (C2). על ידי הצפנת שאילתות DNS בתוך תעבורת HTTPS, התוכנה הזדונית מסתירה את התקשורת שלה בתוך תעבורת אינטרנט מוצפנת שנראית לגיטימית.

גורם האיום מסתיר עוד יותר את התשתית על ידי ניתוב שרתי C2 דרך הרשת של Cloudflare. כתוצאה מכך, תקשורת יוצאת ממערכות פרוצות מופיעה כתעבורת HTTPS סטנדרטית המופנית לכתובת IP גלובלית מהימנה.

גישה זו עוקפת ביעילות מנגנוני הגנה מסורתיים, כולל:

• מערכות גילוי מבוססות DNS ובולענים ב-DNS

• כלי ניטור רשת שמסמנים חיפושי דומיינים חשודים

• פתרונות ניתוח תנועה קונבנציונליים המסתמכים על שאילתות DNS גלויות

בנוסף לטכניקות התחמקות מרשת, Dohdoor מבצעת הפעלה פעילה של קריאות מערכת בקובץ NTDLL.dll כדי לעקוף פתרונות זיהוי ותגובה של נקודות קצה (EDR) המסתמכים על ניטור API במצב משתמש. יכולת זו מפחיתה משמעותית את הסבירות לזיהוי התנהגותי ברמת נקודת הקצה.

יעדים תפעוליים ומוטיבציה פיננסית

נכון לעכשיו, לא זוהו ראיות מאומתות לדליפת נתונים. מלבד פריסת Cobalt Strike Beacon כמטען המשך, לא נצפתה תוכנה זדונית נוספת בשלב הסופי.

למרות היעדר פעילות של תוכנות כופר או גניבת נתונים עד כה, אנליסטים מעריכים כי הקמפיין כנראה מונע כלכלית. מסקנה זו מבוססת על דפוס הקורבטולוגיה ועל פריסת כלים הקשורים בדרך כלל למסגרות פוסט-ניצול המשמשות בפריצות מונעות מונטיזציה.

ניתוח ייחוס וחפיפות בצפון קוריאה

זהות הקבוצה שעומדת מאחורי UAT-10027 נותרה לא ידועה. עם זאת, חוקרים זיהו קווי דמיון טקטיים בין Dohdoor לבין LazarLoader, תוכנת הורדה שיוחסה בעבר לקבוצת האיומים הצפון קוריאנית Lazarus.

בעוד שקיימות חפיפות טכניות עם תוכנות זדוניות המקושרות ל-Lazarus, התמקדות הקמפיין בחינוך ובריאות שונה מההתמקדות המסורתית של Lazarus בפלטפורמות מטבעות קריפטוגרפיים וישויות הקשורות להגנה.

אף על פי כן, פעילות היסטורית מצד גורמי איום מתמשך מתקדם (APT) צפון קוריאנים חושפת התאמה חלקית בין הקורבנות. לדוגמה, מפעילים צפון קוריאנים פרסו את תוכנת הכופר של Maui נגד ארגוני בריאות, וקבוצת Kimsuky כיוונה למוסדות חינוך. תקדימים אלה מדגישים חפיפות נושאיות עם פרופיל המיקוד של UAT-10027, אם כי לא נקבע ייחוס סופי.

השילוב של טכניקות התחמקות מתוחכמות, מיקוד סלקטיבי במגזרים והסתרת תשתיות מציב את UAT-10027 כאיום משמעותי ומתפתח הדורש ערנות מוגברת במגזרי שירות קריטיים.