Dohdoor Stražnja vrata

Prethodno nedokumentirani skup prijetnji povezan je s tekućom zlonamjernom kampanjom usmjerenom na obrazovni i zdravstveni sektor diljem Sjedinjenih Država barem od prosinca 2025. Sigurnosni istraživači prate ovu aktivnost pod oznakom UAT-10027. Primarni cilj kampanje je postavljanje novootkrivenog backdoora poznatog kao Dohdoor.

Više obrazovnih institucija već je kompromitirano, uključujući sveučilište s vezom s nekoliko pridruženih institucija, što sugerira potencijalno proširenu površinu napada. Zdravstvena ustanova specijalizirana za njegu starijih osoba također je potvrđena kao žrtva, što naglašava sektorski fokus operacije.

Lanac infekcije i implementacija zlonamjernog softvera

Iako točan početni vektor pristupa ostaje neodređen, istražitelji sumnjaju da kampanja započinje taktikama krađe identiteta temeljenim na društvenom inženjeringu koje u konačnici pokreću izvršavanje zlonamjernog PowerShell skripta.

Slijed infekcije odvija se u nekoliko faza:

• PowerShell skripta dohvaća i izvršava Windows batch datoteku s udaljenog poslužitelja za pripremu.
• Batch datoteka zatim preuzima zlonamjernu DLL datoteku, obično pod nazivom 'propsys.dll' ili 'batmeter.dll'.
• DLL, identificiran kao Dohdoor, izvršava se bočnim učitavanjem DLL-a pomoću legitimnih Windows binarnih datoteka kao što su 'Fondue.exe', 'mblctr.exe' ili 'ScreenClippingHost.exe'.
• Jednom aktivan, backdoor povlači sekundarni korisni teret izravno u memoriju i izvršava ga, procijenjenog kao Cobalt Strike Beacon.

Ovaj višeslojni lanac izvršenja pokazuje namjerne napore spajanja zlonamjernih komponenti s pouzdanim sistemskim procesima kako bi se izbjeglo otkrivanje.

Tajna infrastruktura zapovijedanja i upravljanja

Dohdoor koristi DNS-over-HTTPS (DoH) za upravljanje komunikacijom Command-and-Control (C2). Šifriranjem DNS upita unutar HTTPS prometa, zlonamjerni softver skriva svoju komunikaciju unutar naizgled legitimnog šifriranog web prometa.

Prijetnja dodatno prikriva infrastrukturu usmjeravanjem C2 poslužitelja kroz Cloudflareovu mrežu. Kao rezultat toga, odlazna komunikacija s kompromitiranih sustava izgleda kao standardni HTTPS promet usmjeren prema pouzdanoj globalnoj IP adresi.

Ovaj pristup učinkovito zaobilazi tradicionalne obrambene mehanizme, uključujući:

• DNS-bazirani sustavi za detekciju i DNS provalije

• Alati za nadzor mreže koji označavaju sumnjive pretrage domena

• Konvencionalna rješenja za analizu prometa koja se oslanjaju na vidljive DNS upite

Osim tehnika izbjegavanja mreže, Dohdoor aktivno otključava sistemske pozive u NTDLL.dll kako bi zaobišao rješenja za otkrivanje i odgovor na krajnje točke (EDR) koja se oslanjaju na praćenje API-ja u korisničkom načinu rada. Ova mogućnost značajno smanjuje vjerojatnost otkrivanja ponašanja na razini krajnje točke.

Operativni ciljevi i financijska motivacija

Trenutno nisu pronađeni potvrđeni dokazi o krađi podataka. Osim implementacije Cobalt Strike Beacona kao dodatnog korisnog tereta, nije uočen dodatni zlonamjerni softver u završnoj fazi.

Unatoč dosadašnjem nedostatku aktivnosti vezanih uz ransomware ili krađu podataka, analitičari procjenjuju da je kampanja vjerojatno financijski motivirana. Ovaj zaključak temelji se na obrascu viktimologije i primjeni alata koji se obično povezuju s okvirima nakon iskorištavanja koji se koriste u upadima usmjerenim na monetizaciju.

Analiza atribucije i sjevernokorejska preklapanja

Identitet skupine koja stoji iza UAT-10027 ostaje nepoznat. Međutim, istraživači su identificirali taktičke sličnosti između Dohdoora i LazarLoadera, programa za preuzimanje koji se prethodno pripisivao sjevernokorejskoj skupini prijetnji Lazarus.

Iako postoje tehnička preklapanja sa zlonamjernim softverom povezanim s Lazarusom, fokus kampanje na obrazovanje i zdravstvo odstupa od tradicionalnog ciljanja Lazarusa na platforme kriptovaluta i subjekte povezane s obranom.

Ipak, povijesna aktivnost sjevernokorejskih aktera naprednih trajnih prijetnji (APT) otkriva djelomičnu usklađenost viktimologije. Na primjer, sjevernokorejski operateri su primijenili Maui ransomware protiv zdravstvenih organizacija, a grupa Kimsuky je ciljala obrazovne institucije. Ovi presedani ističu tematska preklapanja s profilom ciljanja UAT-10027, iako nije utvrđena konačna atribucija.

Kombinacija sofisticiranih tehnika izbjegavanja, selektivnog ciljanja sektora i skrivanja infrastrukture pozicionira UAT-10027 kao značajnu i promjenjivu prijetnju koja zahtijeva pojačanu budnost u kritičnim sektorima usluga.