ទ្វារក្រោយ Dohdoor

ចង្កោមសកម្មភាពគំរាមកំហែងដែលពីមុនមិនមានឯកសារត្រូវបានភ្ជាប់ទៅនឹងយុទ្ធនាការព្យាបាទដែលកំពុងបន្តដែលកំណត់គោលដៅលើវិស័យអប់រំ និងថែទាំសុខភាពនៅទូទាំងសហរដ្ឋអាមេរិកចាប់តាំងពីយ៉ាងហោចណាស់ខែធ្នូ ឆ្នាំ២០២៥។ ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខកំពុងតាមដានសកម្មភាពនេះក្រោមការកំណត់ UAT-10027។ គោលបំណងចម្បងនៃយុទ្ធនាការនេះគឺដើម្បីដាក់ពង្រាយច្រកចូលខាងក្រោយដែលទើបកំណត់អត្តសញ្ញាណថ្មីដែលគេស្គាល់ថាជា Dohdoor។

ស្ថាប័នអប់រំជាច្រើនត្រូវបានវាយប្រហាររួចហើយ រួមទាំងសាកលវិទ្យាល័យមួយដែលមានការតភ្ជាប់ទៅកាន់ស្ថាប័នពាក់ព័ន្ធជាច្រើន ដែលបង្ហាញពីផ្ទៃវាយប្រហារដែលអាចពង្រីកបាន។ មណ្ឌលថែទាំសុខភាពមួយដែលមានឯកទេសខាងការថែទាំមនុស្សចាស់ក៏ត្រូវបានបញ្ជាក់ថាជាជនរងគ្រោះផងដែរ ដែលគូសបញ្ជាក់ពីការផ្តោតអារម្មណ៍ជាក់លាក់នៃប្រតិបត្តិការនេះ។

ខ្សែសង្វាក់នៃការឆ្លងមេរោគ និងការដាក់ពង្រាយមេរោគ

ទោះបីជាវ៉ិចទ័រចូលប្រើដំបូងពិតប្រាកដនៅតែមិនទាន់ត្រូវបានកំណត់ក៏ដោយ អ្នកស៊ើបអង្កេតសង្ស័យថាយុទ្ធនាការនេះចាប់ផ្តើមជាមួយនឹងយុទ្ធសាស្ត្របន្លំតាមប្រព័ន្ធវិស្វកម្មសង្គម ដែលនៅទីបំផុតបង្កឱ្យមានការប្រតិបត្តិស្គ្រីប PowerShell ព្យាបាទ។

លំដាប់នៃការឆ្លងមេរោគកើតឡើងក្នុងដំណាក់កាលជាច្រើន៖

• ស្គ្រីប PowerShell ទាញយក និងប្រតិបត្តិឯកសារបាច់ Windows ពីម៉ាស៊ីនមេ staging ពីចម្ងាយ។
• បន្ទាប់មក ឯកសារបាច់ (batch file) នឹងទាញយកឯកសារ DLL ដែលមានគំនិតអាក្រក់ ជាធម្មតាមានឈ្មោះថា 'propsys.dll' ឬ 'batmeter.dll'។
• DLL ដែលត្រូវបានកំណត់ថាជា Dohdoor ត្រូវបានប្រតិបត្តិតាមរយៈការផ្ទុក DLL ចំហៀងដោយប្រើឯកសារគោលពីរ Windows ស្របច្បាប់ដូចជា 'Fondue.exe,' 'mblctr.exe,' ឬ 'ScreenClippingHost.exe'។
• នៅពេលដែលវាសកម្ម ទ្វារក្រោយនឹងទាញយកបន្ទុកបន្ទាប់បន្សំដោយផ្ទាល់ទៅក្នុងអង្គចងចាំ ហើយប្រតិបត្តិវា ដែលត្រូវបានវាយតម្លៃថាជា Cobalt Strike Beacon។

ខ្សែសង្វាក់ប្រតិបត្តិពហុស្រទាប់នេះបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងដោយចេតនាដើម្បីលាយបញ្ចូលគ្នានូវសមាសធាតុព្យាបាទជាមួយដំណើរការប្រព័ន្ធដែលគួរឱ្យទុកចិត្តដើម្បីគេចពីការរកឃើញ។

ហេដ្ឋារចនាសម្ព័ន្ធបញ្ជាការ និងត្រួតពិនិត្យសម្ងាត់

Dohdoor ប្រើប្រាស់ DNS-over-HTTPS (DoH) ដើម្បីគ្រប់គ្រងការទំនាក់ទំនង Command-and-Control (C2)។ តាមរយៈការអ៊ិនគ្រីបសំណួរ DNS នៅក្នុងចរាចរណ៍ HTTPS មេរោគនេះលាក់បាំងការទំនាក់ទំនងរបស់វានៅក្នុងចរាចរណ៍គេហទំព័រដែលបានអ៊ិនគ្រីបដែលហាក់ដូចជាស្របច្បាប់។

ភ្នាក់ងារគំរាមកំហែងនេះធ្វើឱ្យហេដ្ឋារចនាសម្ព័ន្ធកាន់តែងងឹតដោយការបញ្ជូនម៉ាស៊ីនមេ C2 តាមរយៈបណ្តាញរបស់ Cloudflare។ ជាលទ្ធផល ការទំនាក់ទំនងចេញពីប្រព័ន្ធដែលរងការសម្របសម្រួលលេចឡើងជាចរាចរណ៍ HTTPS ស្តង់ដារដែលតម្រង់ទៅរកអាសយដ្ឋាន IP សកលដែលគួរឱ្យទុកចិត្ត។

វិធីសាស្រ្តនេះរំលងយន្តការការពារបែបប្រពៃណីយ៉ាងមានប្រសិទ្ធភាព រួមមាន៖

• ប្រព័ន្ធរកឃើញដែលមានមូលដ្ឋានលើ DNS និងចំណុចខ្សោយ DNS

បន្ថែមពីលើបច្ចេកទេសគេចវេសបណ្តាញ Dohdoor ធ្វើការ unhooks ការហៅប្រព័ន្ធនៅក្នុង NTDLL.dll យ៉ាងសកម្ម ដើម្បីគេចវេះដំណោះស្រាយការរកឃើញ និងការឆ្លើយតបចំណុចបញ្ចប់ (EDR) ដែលពឹងផ្អែកលើការត្រួតពិនិត្យ API របៀបអ្នកប្រើប្រាស់។ សមត្ថភាពនេះកាត់បន្ថយយ៉ាងខ្លាំងនូវលទ្ធភាពនៃការរកឃើញអាកប្បកិរិយានៅកម្រិតចំណុចបញ្ចប់។

គោលបំណងប្រតិបត្តិការ និងការលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុ

បច្ចុប្បន្ននេះ មិនមានភស្តុតាងណាមួយដែលបញ្ជាក់ពីការលួចទិន្នន័យត្រូវបានកំណត់អត្តសញ្ញាណនោះទេ។ ក្រៅពីការដាក់ពង្រាយ Cobalt Strike Beacon ជាបន្ទុកបន្តបន្ទាប់ គ្មានមេរោគដំណាក់កាលចុងក្រោយបន្ថែមណាមួយត្រូវបានគេសង្កេតឃើញនោះទេ។

ទោះបីជាមិនមានកម្មវិធីចាប់ជំរិត ឬសកម្មភាពលួចទិន្នន័យរហូតមកដល់ពេលនេះក៏ដោយ អ្នកវិភាគវាយតម្លៃថាយុទ្ធនាការនេះទំនងជាមានការលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុ។ ការសន្និដ្ឋាននេះគឺផ្អែកលើគំរូជនរងគ្រោះ និងការដាក់ពង្រាយឧបករណ៍ដែលជាទូទៅត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងក្របខ័ណ្ឌក្រោយការកេងប្រវ័ញ្ចដែលប្រើក្នុងការឈ្លានពានដែលជំរុញដោយប្រាក់។

ការវិភាគអំពីភាពជាម្ចាស់ និងការត្រួតស៊ីគ្នារបស់កូរ៉េខាងជើង

អត្តសញ្ញាណរបស់ក្រុមដែលនៅពីក្រោយ UAT-10027 នៅមិនទាន់ដឹងនៅឡើយទេ។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណភាពស្រដៀងគ្នាខាងយុទ្ធសាស្ត្ររវាង Dohdoor និង LazarLoader ដែលជាកម្មវិធីទាញយកដែលពីមុនត្រូវបានសន្មតថាជារបស់ក្រុមគំរាមកំហែងកូរ៉េខាងជើង Lazarus។

ខណៈពេលដែលមានការត្រួតស៊ីគ្នាខាងបច្ចេកទេសជាមួយមេរោគដែលទាក់ទងនឹង Lazarus ការផ្តោតអារម្មណ៍របស់យុទ្ធនាការលើការអប់រំ និងការថែទាំសុខភាពគឺខុសពីការកំណត់គោលដៅបែបប្រពៃណីរបស់ Lazarus លើវេទិការូបិយប័ណ្ណគ្រីបតូ និងអង្គភាពទាក់ទងនឹងការការពារជាតិ។

យ៉ាងណាក៏ដោយ សកម្មភាពប្រវត្តិសាស្ត្រពីអ្នកបង្កការគំរាមកំហែងជាបន្តបន្ទាប់កម្រិតខ្ពស់ (APT) របស់កូរ៉េខាងជើងបង្ហាញពីការតម្រឹមគ្នាផ្នែកជនរងគ្រោះដោយផ្នែក។ ឧទាហរណ៍ ប្រតិបត្តិករកូរ៉េខាងជើងបានដាក់ពង្រាយ Maui ransomware ប្រឆាំងនឹងអង្គការថែទាំសុខភាព ហើយក្រុម Kimsuky បានកំណត់គោលដៅស្ថាប័នអប់រំ។ គំរូទាំងនេះបង្ហាញពីការត្រួតស៊ីគ្នានៃប្រធានបទជាមួយនឹងទម្រង់កំណត់គោលដៅរបស់ UAT-10027 ទោះបីជាមិនទាន់មានការបញ្ជាក់ច្បាស់លាស់ក៏ដោយ។

ការរួមបញ្ចូលគ្នានៃបច្ចេកទេសគេចវេសដ៏ទំនើប ការកំណត់គោលដៅវិស័យជ្រើសរើស និងការលាក់បាំងហេដ្ឋារចនាសម្ព័ន្ធ បានដាក់ UAT-10027 ជាការគំរាមកំហែងដ៏សំខាន់ និងកំពុងវិវត្តន៍ ដែលតម្រូវឱ្យមានការប្រុងប្រយ័ត្នខ្ពស់នៅទូទាំងវិស័យសេវាកម្មសំខាន់ៗ។