다중 라이센스 할인 견적
위협 데이터베이스 백도어 Dohdoor Backdoor

Dohdoor Backdoor

백도어, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

이전에 기록되지 않았던 위협 활동 클러스터가 2025년 12월부터 미국 전역의 교육 및 의료 부문을 대상으로 진행 중인 악성 캠페인과 연관되어 있는 것으로 확인되었습니다. 보안 연구원들은 이 활동을 UAT-10027이라는 명칭으로 추적하고 있습니다. 이 캠페인의 주요 목표는 Dohdoor라는 새로운 백도어를 배포하는 것입니다.

이미 여러 교육기관이 해킹 피해를 입었으며, 그중에는 여러 계열 기관과 연결된 대학교도 포함되어 있어 공격 가능 범위가 상당히 넓을 수 있음을 시사합니다. 노인 요양 전문 의료 시설 또한 피해 기관으로 확인되어 이번 공격이 특정 분야를 겨냥한 것임을 보여줍니다.

감염 경로 및 악성코드 배포

정확한 초기 접근 경로는 아직 밝혀지지 않았지만, 조사관들은 이 공격이 사회공학적 피싱 기법으로 시작되어 궁극적으로 악성 PowerShell 스크립트 실행으로 이어지는 것으로 추정하고 있습니다.

감염 과정은 여러 단계를 거쳐 진행됩니다.

  • 이 PowerShell 스크립트는 원격 스테이징 서버에서 Windows 배치 파일을 가져와 실행합니다.
  • 그런 다음 배치 파일은 일반적으로 'propsys.dll' 또는 'batmeter.dll'이라는 이름의 악성 DLL 파일을 다운로드합니다.
  • Dohdoor로 식별된 해당 DLL은 'Fondue.exe', 'mblctr.exe' 또는 'ScreenClippingHost.exe'와 같은 정식 Windows 바이너리를 사용하여 DLL 사이드 로딩 방식으로 실행됩니다.
  • 백도어가 활성화되면 보조 페이로드를 메모리로 직접 가져와 실행하는데, 이는 코발트 스트라이크 비콘으로 추정됩니다.

이러한 다층적인 실행 체인은 탐지를 회피하기 위해 악성 구성 요소를 신뢰할 수 있는 시스템 프로세스와 의도적으로 혼합하려는 노력을 보여줍니다.

비밀 지휘통제 인프라

Dohdoor는 DNS-over-HTTPS(DoH)를 활용하여 명령 및 제어(C2) 통신을 관리합니다. 이 악성 프로그램은 HTTPS 트래픽 내에서 DNS 쿼리를 암호화함으로써 겉보기에는 정상적인 암호화된 웹 트래픽처럼 보이도록 통신 내용을 숨깁니다.

공격자는 C2 서버를 클라우드플레어 네트워크를 통해 라우팅하여 인프라를 더욱 은폐합니다. 결과적으로, 침해된 시스템에서 나가는 통신은 신뢰할 수 있는 글로벌 IP 주소로 향하는 표준 HTTPS 트래픽처럼 보입니다.

이 접근 방식은 다음과 같은 기존의 방어 메커니즘을 효과적으로 우회합니다.

  • DNS 기반 탐지 시스템 및 DNS 싱크홀
  • 의심스러운 도메인 조회를 표시하는 네트워크 모니터링 도구
  • 기존의 트래픽 분석 솔루션은 가시적인 DNS 쿼리에 의존합니다.

Dohdoor는 네트워크 회피 기술 외에도 NTDLL.dll의 시스템 호출을 적극적으로 차단하여 사용자 모드 API 모니터링에 의존하는 엔드포인트 탐지 및 대응(EDR) 솔루션을 우회합니다. 이러한 기능은 엔드포인트 수준에서 행위 탐지 가능성을 크게 줄입니다.

운영 목표 및 재정적 동기

현재까지 데이터 유출에 대한 확정적인 증거는 발견되지 않았습니다. 후속 페이로드로 코발트 스트라이크 비콘이 배포된 것 외에는 추가적인 최종 단계 악성코드는 관찰되지 않았습니다.

현재까지 랜섬웨어 공격이나 데이터 유출 활동은 발견되지 않았지만, 분석가들은 이번 공격이 금전적 이득을 목적으로 했을 가능성이 높다고 판단하고 있습니다. 이러한 결론은 피해자 유형과 금전적 이득을 노린 침입에 흔히 사용되는 사후 공격 도구의 사용 양상에 근거합니다.

귀속 분석 및 북한 중복 분석

UAT-10027을 제작한 단체의 정체는 아직 밝혀지지 않았습니다. 하지만 연구원들은 Dohdoor와 북한의 위협 단체인 Lazarus가 사용하는 것으로 알려진 다운로더 LazarLoader 사이에 전술적 유사점을 발견했습니다.

라자루스 관련 악성코드와 기술적으로 겹치는 부분이 있지만, 이 캠페인이 교육 및 의료 분야에 초점을 맞추고 있다는 점은 라자루스가 전통적으로 암호화폐 플랫폼과 국방 관련 기관을 표적으로 삼아 온 것과는 차이가 있습니다.

그럼에도 불구하고, 북한의 고도 지속적 위협(APT) 공격자들의 과거 활동을 살펴보면 피해 대상 선정 방식이 부분적으로 일치하는 것을 알 수 있습니다. 예를 들어, 북한 공격자들은 의료기관을 대상으로 마우이(Maui) 랜섬웨어를 배포했고, 김수키(Kimsuky) 그룹은 교육기관을 표적으로 삼았습니다. 이러한 선례들은 UAT-10027의 공격 대상 프로필과 주제적으로 겹치는 부분이 있음을 보여주지만, 확실한 배후는 아직 밝혀지지 않았습니다.

정교한 회피 기술, 특정 부문 표적화, 그리고 기반 시설 은폐의 조합은 UAT-10027을 중요하고 진화하는 위협으로 간주하게 하며, 따라서 핵심 서비스 부문 전반에 걸쳐 경계 태세를 강화해야 합니다.

트렌드

Getfastbrowser.download

불량 웹사이트, 잠재적으로 원하지 않는 프로그램
악성 및 신뢰할 수 없는 애플리케이션으로부터 기기를 보호하는 것은 더 이상 선택 사항이 아니라 필수 사항입니다. 잠재적으로 원치 않는 프로그램(PUP)은 처음에는 무해해 보일 수 있지만, 브라우저 설정을 변경하고, 기만적인 콘텐츠에 노출시키며, 전반적인 보안을 약화시킬 수 있습니다. 최근 우려를 불러일으키는 사례 중 하나는...

FedEx Express - 배송물이 도착했습니다 이메일 사기

피싱, 멀웨어, 스팸
오늘날과 같은 위협 환경에서는 예상치 못한 이메일을 접할 때 경계를 늦추지 않는 것이 매우 중요합니다. 사이버 범죄자들은 신뢰와 호기심을 악용하기 위해 유명 브랜드를 사칭하는 수법을 흔히 사용합니다. 'FedEx Express - 배송물이 도착했습니다'라는 이메일은 이러한 수법의 대표적인 예입니다. 합법적인 택배 회사에서 온 것처럼 보이지만, 이러한 메시지는 실제 회사, 기관 또는 단체와는 아무런 관련이 없습니다. 오히려 악성코드를 기기에 감염시키도록 설계된 악성 캠페인의 일부입니다. 가짜 페덱스 알림을 자세히 살펴보겠습니다. 사기 이메일은 유명 배송 서비스 업체인 페덱스의 공식 알림으로 위장되어 있습니다. 제목과 내용에는 일반적으로 페덱스 익스프레스가 특정 날짜(예: 2026년 2월...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
36,127
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

'macOS는 이 앱에 맬웨어가 없는지 확인할 수 없습니다' 수정 방법

문제
29,157
Mac 사용자는 일반적으로 알 수 없는 개발자의 응용 프로그램이나 공식 App Store에서 사용할 수 없고 타사 앱에서 제공하는 응용 프로그램을 설치하려고 할 때 'macOS에서 이 앱에 맬웨어가 없는지 확인할 수 없습니다'라는 메시지가 표시됩니다.라이선스 플랫폼. 이러한 경우 Gatekeep이라는 내장 Mac 보안 시스템은 특정...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
28,950
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...