Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Hátsó ajtók Dohdoor hátsó ajtó

Dohdoor hátsó ajtó

Mezo -ra Hátsó ajtók, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Egy korábban nem dokumentált fenyegetési tevékenységi klaszter legalább 2025 decembere óta az Egyesült Államok oktatási és egészségügyi szektorát célzó, folyamatban lévő rosszindulatú kampánnyal hozható összefüggésbe. Biztonsági kutatók ezt a tevékenységet az UAT-10027 azonosítási számon követik nyomon. A kampány elsődleges célja egy újonnan azonosított, Dohdoor néven ismert hátsó ajtó telepítése.

Több oktatási intézményt is már feltörtek, köztük egy egyetemet, amely több kapcsolt intézménnyel is kapcsolatban áll, ami potenciálisan kibővült támadási felületre utal. Egy idősgondozásra szakosodott egészségügyi intézményt is áldozatként erősítettek meg, ami aláhúzza a művelet ágazatspecifikus fókuszát.

Fertőzéslánc és kártevő telepítés

Bár a pontos kezdeti hozzáférési vektor továbbra sem meghatározott, a nyomozók gyanítják, hogy a kampány társadalmi manipuláción alapuló adathalász taktikákkal kezdődik, amelyek végül egy rosszindulatú PowerShell szkript végrehajtását indítják el.

A fertőzés lefolyása több szakaszban zajlik:

  • A PowerShell szkript egy távoli átmeneti kiszolgálóról kér le és hajt végre egy Windows kötegfájlt.
  • A kötegelt fájl ezután letölt egy rosszindulatú DLL fájlt, amelynek neve jellemzően „propsys.dll” vagy „batmeter.dll”.
  • A Dohdoor néven azonosított DLL-t DLL oldaltöltéssel hajtják végre legitim Windows bináris fájlok, például a „Fondue.exe”, az „mblctr.exe” vagy a „ScreenClippingHost.exe” használatával.
  • Aktiválás után a hátsó ajtó egy másodlagos hasznos adatot hív le közvetlenül a memóriába, és végrehajtja azt, amelyet Cobalt Strike Beaconként értékel.

Ez a többrétegű végrehajtási lánc szándékos erőfeszítéseket mutat a rosszindulatú komponensek megbízható rendszerfolyamatokkal való ötvözésére az észlelés elkerülése érdekében.

Titkos parancsnoki és irányítási infrastruktúra

A Dohdoor a DNS-over-HTTPS (DoH) protokollt használja a Command-and-Control (C2) kommunikáció kezelésére. A HTTPS forgalomban lévő DNS-lekérdezések titkosításával a rosszindulatú program elrejti kommunikációját a látszólag legitim titkosított webforgalomban.

A fenyegető szereplő tovább homályosítja az infrastruktúrát azáltal, hogy a C2-kiszolgálókat a Cloudflare hálózatán keresztül irányítja. Ennek eredményeként a feltört rendszerekről kimenő kommunikáció szabványos HTTPS-forgalomként jelenik meg, amely egy megbízható globális IP-cím felé irányul.

Ez a megközelítés hatékonyan megkerüli a hagyományos védekező mechanizmusokat, beleértve:

  • DNS-alapú észlelő rendszerek és DNS-nyelők
  • Hálózatfigyelő eszközök, amelyek gyanús domainkereséseket jeleznek
  • A látható DNS-lekérdezésekre támaszkodó hagyományos forgalomelemzési megoldások

A hálózati megkerülési technikák mellett a Dohdoor aktívan leválasztja az NTDLL.dll rendszerhívásait, hogy megkerülje a felhasználói módú API-monitorozáson alapuló végpont-észlelési és -válaszolási (EDR) megoldásokat. Ez a képesség jelentősen csökkenti a viselkedésbeli észlelés valószínűségét a végpontok szintjén.

Működési célok és pénzügyi motiváció

Jelenleg nem találtak megerősített bizonyítékot az adatlopásra. A Cobalt Strike Beacon további hasznos csomagként történő telepítésén kívül nem észleltek további, végső fázisú kártevőt.

Annak ellenére, hogy eddig nem történt zsarolóvírus-támadás vagy adatlopás, az elemzők úgy vélik, hogy a kampány valószínűleg pénzügyi indíttatású. Ez a következtetés az áldozati mintán és a monetizációs célú behatolások során használt utólagos kihasználási keretrendszerekhez gyakran kapcsolódó eszközök alkalmazásán alapul.

Attribúcióelemzés és az észak-koreai átfedések

Az UAT-10027 mögött álló csoport kiléte továbbra ismeretlen. A kutatók azonban taktikai hasonlóságokat azonosítottak a Dohdoor és a LazarLoader letöltőprogram között, amelyet korábban az észak-koreai Lazarus fenyegető csoporthoz kötöttek.

Bár technikai átfedések vannak a Lazarushoz köthető rosszindulatú programokkal, a kampány oktatásra és egészségügyre összpontosító megközelítése eltér a Lazarus hagyományos, kriptovaluta-platformokat és védelmi vonatkozású szervezeteket célzó stratégiájától.

Mindazonáltal az észak-koreai APT (Advanced Persistent Threat) szereplők korábbi tevékenysége részleges áldozattámogatási egyezést mutat. Például az észak-koreai operátorok Maui zsarolóvírust telepítettek egészségügyi szervezetek ellen, a Kimsuky csoport pedig oktatási intézményeket vett célba. Ezek az előzmények tematikus átfedéseket mutatnak az UAT-10027 célzási profiljával, bár a pontos eredetet még nem állapították meg.

A kifinomult kitérési technikák, a szelektív szektorcélzás és az infrastruktúra elrejtése kombinációja az UAT-10027-et jelentős és folyamatosan változó fenyegetésként teszi szükségessé, amely fokozott éberséget igényel a kritikus szolgáltatási szektorokban.

Felkapott

FedEx Express - A küldeményeit megkaptuk - e-mailes...

Adathalászat, Malware, Spam
A mai fenyegetési környezetben elengedhetetlen az éberség a váratlan e-mailek kezelésekor. A kiberbűnözők rendszeresen ismert márkáknak adják ki magukat, hogy kihasználják a bizalmat és a kíváncsiságot. Az úgynevezett „FedEx Express – A küldeményeidet megkaptuk” e-mailek ennek a taktikának a kiváló példái. Bár úgy tűnik, hogy egy legitim futárszolgálattól érkeznek, ezek az üzenetek nem...

Legnézettebb

Betöltés...