Dohdoor बैकडोर

पहले अज्ञात रहे एक खतरे की गतिविधि के समूह का संबंध अमेरिका भर में शिक्षा और स्वास्थ्य सेवा क्षेत्रों को लक्षित करने वाले एक सक्रिय दुर्भावनापूर्ण अभियान से जोड़ा गया है, जो कम से कम दिसंबर 2025 से चल रहा है। सुरक्षा शोधकर्ता इस गतिविधि को UAT-10027 के रूप में ट्रैक कर रहे हैं। इस अभियान का प्राथमिक उद्देश्य Dohdoor नामक एक नए पहचाने गए बैकडोर को तैनात करना है।

कई शैक्षणिक संस्थान पहले ही प्रभावित हो चुके हैं, जिनमें कई संबद्ध संस्थानों से जुड़ा एक विश्वविद्यालय भी शामिल है, जो संभावित रूप से व्यापक हमले की संभावना को दर्शाता है। बुजुर्गों की देखभाल में विशेषज्ञता रखने वाली एक स्वास्थ्य सुविधा भी प्रभावित हुई है, जो इस अभियान के क्षेत्र-विशिष्ट फोकस को रेखांकित करती है।

संक्रमण श्रृंखला और मैलवेयर तैनाती

हालांकि प्रारंभिक पहुंच का सटीक तरीका अभी तक निर्धारित नहीं किया जा सका है, लेकिन जांचकर्ताओं को संदेह है कि यह अभियान सोशल इंजीनियरिंग-आधारित फ़िशिंग रणनीति से शुरू होता है जो अंततः एक दुर्भावनापूर्ण पॉवरशेल स्क्रिप्ट के निष्पादन को ट्रिगर करता है।

संक्रमण की प्रक्रिया कई चरणों में आगे बढ़ती है:

• पॉवरशेल स्क्रिप्ट एक रिमोट स्टेजिंग सर्वर से विंडोज बैच फाइल को प्राप्त करती है और उसे निष्पादित करती है।
• इसके बाद बैच फाइल एक दुर्भावनापूर्ण डीएलएल फाइल डाउनलोड करती है, जिसका नाम आमतौर पर 'propsys.dll' या 'batmeter.dll' होता है।
• Dohdoor नामक DLL को 'Fondue.exe', 'mblctr.exe' या 'ScreenClippingHost.exe' जैसे वैध विंडोज बाइनरी का उपयोग करके DLL साइड-लोडिंग के माध्यम से निष्पादित किया जाता है।
• एक बार सक्रिय होने पर, बैकडोर एक सेकेंडरी पेलोड को सीधे मेमोरी में खींच लेता है और उसे निष्पादित करता है, जिसे कोबाल्ट स्ट्राइक बीकन के रूप में आंका गया है।

यह बहुस्तरीय निष्पादन श्रृंखला दुर्भावनापूर्ण घटकों को विश्वसनीय सिस्टम प्रक्रियाओं के साथ मिलाकर पता लगाने से बचने के जानबूझकर किए गए प्रयासों को दर्शाती है।

गुप्त कमान और नियंत्रण अवसंरचना

डोहडोर कमांड-एंड-कंट्रोल (C2) संचार को प्रबंधित करने के लिए DNS-ओवर-HTTPS (DoH) का उपयोग करता है। HTTPS ट्रैफ़िक के भीतर DNS क्वेरी को एन्क्रिप्ट करके, यह मैलवेयर अपने संचार को वैध प्रतीत होने वाले एन्क्रिप्टेड वेब ट्रैफ़िक के भीतर छुपा लेता है।

हमलावर क्लाउडफ्लेयर के नेटवर्क के माध्यम से C2 सर्वरों को रूट करके बुनियादी ढांचे को और अधिक छिपा देता है। परिणामस्वरूप, प्रभावित सिस्टमों से बाहर जाने वाले संचार एक विश्वसनीय वैश्विक आईपी पते की ओर निर्देशित मानक HTTPS ट्रैफ़िक के रूप में दिखाई देते हैं।

यह दृष्टिकोण पारंपरिक रक्षात्मक तंत्रों को प्रभावी ढंग से दरकिनार कर देता है, जिनमें शामिल हैं:

• DNS-आधारित पहचान प्रणाली और DNS सिंकहोल

• संदिग्ध डोमेन खोजों को चिह्नित करने वाले नेटवर्क निगरानी उपकरण

• दृश्यमान DNS क्वेरी पर निर्भर पारंपरिक ट्रैफ़िक विश्लेषण समाधान

नेटवर्क से बचने की तकनीकों के अलावा, Dohdoor सक्रिय रूप से NTDLL.dll में सिस्टम कॉल को अनहुक करता है ताकि उपयोगकर्ता-मोड API मॉनिटरिंग पर निर्भर एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (EDR) समाधानों को दरकिनार किया जा सके। यह क्षमता एंडपॉइंट स्तर पर व्यवहार का पता लगने की संभावना को काफी कम कर देती है।

परिचालनात्मक उद्देश्य और वित्तीय प्रेरणा

फिलहाल, डेटा लीक होने का कोई पुख्ता सबूत नहीं मिला है। कोबाल्ट स्ट्राइक बीकन को फॉलो-ऑन पेलोड के रूप में तैनात किए जाने के अलावा, कोई अतिरिक्त अंतिम चरण का मैलवेयर नहीं देखा गया है।

अब तक रैंसमवेयर या डेटा चोरी की कोई गतिविधि न होने के बावजूद, विश्लेषकों का मानना है कि यह अभियान संभवतः आर्थिक लाभ के लिए चलाया जा रहा है। यह निष्कर्ष पीड़ित के पैटर्न और उन उपकरणों के उपयोग पर आधारित है जो आमतौर पर मुद्रीकरण-प्रेरित घुसपैठ में इस्तेमाल होने वाले पोस्ट-एक्सप्लॉयटेशन फ्रेमवर्क से जुड़े होते हैं।

उत्तर कोरियाई समानताओं का विश्लेषण और उनके निहितार्थ

UAT-10027 के पीछे कौन सा समूह है, इसकी पहचान अभी तक नहीं हो पाई है। हालांकि, शोधकर्ताओं ने दोहडोर और लाजरलोडर के बीच सामरिक समानताएं पाई हैं। लाजरलोडर एक डाउनलोडर है जिसे पहले उत्तर कोरियाई खतरा समूह लाजरस से जोड़ा गया था।

हालांकि लाजरस से जुड़े मैलवेयर के साथ तकनीकी समानताएं मौजूद हैं, लेकिन शिक्षा और स्वास्थ्य सेवा पर केंद्रित यह अभियान, क्रिप्टोकरेंसी प्लेटफॉर्म और रक्षा संबंधी संस्थाओं को लक्षित करने के लाजरस के पारंपरिक तरीकों से अलग है।

फिर भी, उत्तर कोरियाई उन्नत निरंतर खतरे (एपीटी) हमलावरों की ऐतिहासिक गतिविधियों से पीड़ितों के वर्गीकरण में कुछ समानताएं दिखाई देती हैं। उदाहरण के लिए, उत्तर कोरियाई ऑपरेटरों ने स्वास्थ्य संगठनों के खिलाफ माउई रैंसमवेयर का इस्तेमाल किया है, और किमसुकी समूह ने शैक्षणिक संस्थानों को निशाना बनाया है। ये उदाहरण यूएटी-10027 के लक्ष्यीकरण प्रोफाइल के साथ विषयगत समानताओं को उजागर करते हैं, हालांकि अभी तक इसका कोई निश्चित कारण स्थापित नहीं किया गया है।

परिष्कृत बचाव तकनीकों, चुनिंदा क्षेत्र लक्ष्यीकरण और बुनियादी ढांचे को छुपाने की क्षमता का संयोजन यूएटी-10027 को एक महत्वपूर्ण और विकसित होते खतरे के रूप में स्थापित करता है, जिसके लिए महत्वपूर्ण सेवा क्षेत्रों में उच्च सतर्कता की आवश्यकता है।