Preventivo sconto multi-licenza
Database delle minacce Porte sul retro Dohdoor Backdoor

Dohdoor Backdoor

Entro Mezo nel Porte sul retro, Minaccia persistente avanzata (APT)
Traduci in:

Un cluster di attività di minaccia precedentemente non documentato è stato collegato a una campagna dannosa in corso che prende di mira i settori dell'istruzione e della sanità negli Stati Uniti almeno da dicembre 2025. I ricercatori di sicurezza stanno monitorando questa attività con la designazione UAT-10027. L'obiettivo principale della campagna è implementare una backdoor recentemente identificata, nota come Dohdoor.

Diversi istituti scolastici sono già stati compromessi, tra cui un'università con connettività a diversi istituti affiliati, il che suggerisce una potenziale superficie di attacco più ampia. Anche una struttura sanitaria specializzata nell'assistenza agli anziani è stata confermata come vittima, a sottolineare l'attenzione specifica al settore dell'operazione.

Catena di infezione e distribuzione di malware

Sebbene il vettore di accesso iniziale preciso non sia ancora stato determinato, gli investigatori sospettano che la campagna abbia inizio con tattiche di phishing basate sull'ingegneria sociale che alla fine innescano l'esecuzione di uno script PowerShell dannoso.

La sequenza dell'infezione si sviluppa in più fasi:

  • Lo script PowerShell recupera ed esegue un file batch di Windows da un server di staging remoto.
  • Il file batch scarica quindi un file DLL dannoso, in genere denominato "propsys.dll" o "batmeter.dll".
  • La DLL, identificata come Dohdoor, viene eseguita tramite caricamento laterale della DLL utilizzando binari Windows legittimi come 'Fondue.exe', 'mblctr.exe' o 'ScreenClippingHost.exe'.
  • Una volta attiva, la backdoor estrae un payload secondario direttamente nella memoria e lo esegue, valutandolo come un Cobalt Strike Beacon.

Questa catena di esecuzione multistrato dimostra sforzi deliberati per combinare componenti dannosi con processi di sistema affidabili per eludere il rilevamento.

Infrastruttura di comando e controllo segreta

Dohdoor sfrutta il protocollo DNS-over-HTTPS (DoH) per gestire le comunicazioni di comando e controllo (C2). Crittografando le query DNS nel traffico HTTPS, il malware nasconde le sue comunicazioni all'interno di un traffico web crittografato apparentemente legittimo.

L'autore della minaccia oscura ulteriormente l'infrastruttura instradando i server C2 attraverso la rete di Cloudflare. Di conseguenza, le comunicazioni in uscita dai sistemi compromessi appaiono come traffico HTTPS standard diretto verso un indirizzo IP globale attendibile.

Questo approccio aggira efficacemente i meccanismi difensivi tradizionali, tra cui:

  • Sistemi di rilevamento basati su DNS e sinkhole DNS
  • Strumenti di monitoraggio della rete che segnalano ricerche di domini sospetti
  • Soluzioni convenzionali di analisi del traffico basate su query DNS visibili

    • Oltre alle tecniche di evasione della rete, Dohdoor sgancia attivamente le chiamate di sistema in NTDLL.dll per eludere le soluzioni di rilevamento e risposta degli endpoint (EDR) che si basano sul monitoraggio delle API in modalità utente. Questa funzionalità riduce significativamente la probabilità di rilevamento comportamentale a livello di endpoint.

    Obiettivi operativi e motivazione finanziaria

    Al momento, non è stata identificata alcuna prova confermata di esfiltrazione di dati. A parte l'impiego di Cobalt Strike Beacon come payload successivo, non è stato osservato alcun ulteriore malware in fase finale.

    Nonostante l'assenza di attività di ransomware o furto di dati finora, gli analisti ritengono che la campagna sia probabilmente motivata da ragioni finanziarie. Questa conclusione si basa sul modello di vittimologia e sull'impiego di strumenti comunemente associati ai framework di post-exploitation utilizzati nelle intrusioni basate sulla monetizzazione.

    Analisi dell'attribuzione e sovrapposizioni nordcoreane

    L'identità del gruppo dietro UAT-10027 rimane sconosciuta. Tuttavia, i ricercatori hanno identificato somiglianze tattiche tra Dohdoor e LazarLoader, un downloader precedentemente attribuito al gruppo criminale nordcoreano Lazarus.

    Sebbene esistano sovrapposizioni tecniche con il malware collegato a Lazarus, l'attenzione della campagna su istruzione e assistenza sanitaria si discosta dai tradizionali obiettivi di Lazarus, ovvero piattaforme di criptovalute ed entità legate alla difesa.

    Tuttavia, l'attività storica degli autori di minacce persistenti avanzate (APT) nordcoreani rivela un parziale allineamento vittimologico. Ad esempio, gli operatori nordcoreani hanno distribuito il ransomware Maui contro organizzazioni sanitarie, mentre il gruppo Kimsuky ha preso di mira istituti scolastici. Questi precedenti evidenziano sovrapposizioni tematiche con il profilo di targeting di UAT-10027, sebbene non sia stata stabilita alcuna attribuzione definitiva.

    La combinazione di sofisticate tecniche di evasione, di targeting selettivo dei settori e di occultamento delle infrastrutture rende UAT-10027 una minaccia significativa e in continua evoluzione che richiede una maggiore vigilanza nei settori dei servizi critici.

    Tendenza

    I più visti

    Caricamento in corso...