Dohdoor Backdoor
Anksčiau nedokumentuota grėsmių veiklos grupė buvo susieta su nuo mažiausiai 2025 m. gruodžio mėn. vykstančia kenkėjiška kampanija, nukreipta prieš švietimo ir sveikatos priežiūros sektorius visoje Jungtinėse Valstijose. Saugumo tyrėjai seka šią veiklą pagal žymėjimą UAT-10027. Pagrindinis kampanijos tikslas – dislokuoti naujai identifikuotas „užpakalines duris“, žinomas kaip „Dohdoor“.
Jau buvo pažeistos kelios švietimo įstaigos, įskaitant universitetą, turintį ryšį su keliomis susijusiomis įstaigomis, o tai rodo potencialiai išplėstą atakų zoną. Taip pat patvirtinta, kad auka tapo sveikatos priežiūros įstaiga, kuri specializuojasi pagyvenusių žmonių priežiūroje, o tai pabrėžia operacijos orientaciją į konkretų sektorių.
Turinys
Užkrėtimo grandinė ir kenkėjiškų programų diegimas
Nors tikslus pradinis prieigos vektorius lieka nenustatytas, tyrėjai įtaria, kad kampanija prasideda nuo socialinės inžinerijos pagrindu sukurtos sukčiavimo taktikos, kuri galiausiai sukelia kenkėjiško „PowerShell“ scenarijaus vykdymą.
Infekcijos eiga vyksta keliais etapais:
- „PowerShell“ scenarijus nuskaito ir vykdo „Windows“ paketinį failą iš nuotolinio parengimo serverio.
- Tada paketinis failas atsisiunčia kenkėjišką DLL failą, paprastai vadinamą „propsys.dll“ arba „batmeter.dll“.
- DLL, identifikuojama kaip „Dohdoor“, vykdoma per DLL šoninį įkėlimą naudojant teisėtus „Windows“ dvejetainius failus, tokius kaip „Fondue.exe“, „mblctr.exe“ arba „ScreenClippingHost.exe“.
- Kai galinės durys tampa aktyvios, jos tiesiogiai į atmintį įkelia antrinį paketą ir jį vykdo, įvertindamos, kad tai yra „Cobalt Strike Beacon“.
Ši daugiasluoksnė vykdymo grandinė rodo sąmoningas pastangas sujungti kenkėjiškus komponentus su patikimais sistemos procesais, siekiant išvengti aptikimo.
Slapta vadovavimo ir kontrolės infrastruktūra
„Dohdoor“ naudoja DNS per HTTPS (DoH), kad valdytų komandų ir valdymo (C2) ryšį. Šifruodama DNS užklausas HTTPS sraute, kenkėjiška programa paslepia savo ryšį iš pažiūros teisėtame užšifruotame interneto sraute.
Grėsmės veikėjas dar labiau užmaskuoja infrastruktūrą, nukreipdamas C2 serverius per „Cloudflare“ tinklą. Dėl to išeinantis ryšys iš pažeistų sistemų rodomas kaip standartinis HTTPS srautas, nukreiptas į patikimą visuotinį IP adresą.
Šis metodas veiksmingai apeina tradicinius gynybos mechanizmus, įskaitant:
- DNS pagrįstos aptikimo sistemos ir DNS smegduobės
Be tinklo apėjimo technikų, „Dohdoor“ aktyviai atjungia sisteminius iškvietimus NTDLL.dll faile, kad apeitų galinių taškų aptikimo ir reagavimo (EDR) sprendimus, kurie remiasi vartotojo režimo API stebėjimu. Ši galimybė žymiai sumažina elgsenos aptikimo tikimybę galinių taškų lygmeniu.
Veiklos tikslai ir finansinė motyvacija
Šiuo metu nerasta jokių patvirtintų duomenų nutekėjimo įrodymų. Be „Cobalt Strike Beacon“ diegimo kaip tolesnio paketo, jokios papildomos galutinio etapo kenkėjiškos programos nepastebėta.
Nors iki šiol nebuvo užfiksuota išpirkos reikalaujančių programų ar duomenų vagysčių, analitikai mano, kad kampanija greičiausiai yra finansiškai motyvuota. Ši išvada pagrįsta viktimologijos modeliu ir įrankių, dažniausiai siejamų su po išnaudojimo sistemomis, naudojamomis siekiant gauti pajamų, diegimu.
Priskyrimo analizė ir Šiaurės Korėjos sutapimai
UAT-10027 grupuotės tapatybė lieka nežinoma. Tačiau tyrėjai nustatė taktinių panašumų tarp „Dohdoor“ ir „LazarLoader“ – anksčiau Šiaurės Korėjos grėsmių grupuotei „Lazarus“ priskirto atsisiuntimo įrankio.
Nors egzistuoja techniniai sutapimai su su „Lazarus“ susijusia kenkėjiška programa, kampanijos dėmesys švietimui ir sveikatos apsaugai skiriasi nuo tradicinio „Lazarus“ taikinio į kriptovaliutų platformas ir su gynyba susijusius subjektus.
Nepaisant to, istorinė Šiaurės Korėjos pažangių nuolatinių grėsmių (APT) veikėjų veikla atskleidžia dalinį viktimologijos sutapimą. Pavyzdžiui, Šiaurės Korėjos operatoriai dislokavo Maui išpirkos reikalaujančią programinę įrangą prieš sveikatos priežiūros organizacijas, o „Kimsuky“ grupuotė taikėsi į švietimo įstaigas. Šie precedentai pabrėžia teminius sutapimus su UAT-10027 taikinių profiliu, nors galutinis priskyrimas dar nenustatytas.
Sudėtingų vengimo technikų, selektyvaus sektorių taikymo ir infrastruktūros slėpimo derinys UAT-10027 paverčia reikšminga ir besivystančia grėsme, reikalaujančia didesnio budrumo visuose svarbiausiuose paslaugų sektoriuose.
