Dohdoor Backdoor
Iepriekš nedokumentēta apdraudējumu aktivitāšu klastera saistība ar ļaunprātīgu kampaņu, kas vērsta pret izglītības un veselības aprūpes sektoriem visā Amerikas Savienotajās Valstīs vismaz kopš 2025. gada decembra. Drošības pētnieki izseko šo aktivitāti ar apzīmējumu UAT-10027. Kampaņas galvenais mērķis ir izvietot jaunatklātu aizmugurējo durvju sistēmu, kas pazīstama kā Dohdoor.
Jau ir apdraudētas vairākas izglītības iestādes, tostarp universitāte ar savienojumu ar vairākām saistītām iestādēm, kas liecina par potenciāli paplašinātu uzbrukuma virsmu. Par upuri ir apstiprināta arī veselības aprūpes iestāde, kas specializējas vecāka gadagājuma cilvēku aprūpē, uzsverot operācijas specifisko sektoru.
Satura rādītājs
Infekcijas ķēde un ļaunprogrammatūras izvietošana
Lai gan precīzs sākotnējais piekļuves vektors joprojām nav noteikts, izmeklētāji tur aizdomās, ka kampaņa sākas ar sociālās inženierijas pikšķerēšanas taktiku, kas galu galā izraisa ļaunprātīga PowerShell skripta izpildi.
Infekcijas process norit vairākos posmos:
- PowerShell skripts izgūst un izpilda Windows pakešfailu no attālā sagatavošanas servera.
- Pēc tam pakešfails lejupielādē ļaunprātīgu DLL failu, kura nosaukums parasti ir “propsys.dll” vai “batmeter.dll”.
- DLL, kas identificēts kā Dohdoor, tiek izpildīts, izmantojot DLL sānu ielādi, izmantojot likumīgus Windows bināros failus, piemēram, “Fondue.exe”, “mblctr.exe” vai “ScreenClippingHost.exe”.
- Kad aizmugures durvis ir aktīvas, tās tieši atmiņā ievelk sekundāro vērtumu un izpilda to, kas tiek novērtēts kā Cobalt Strike Beacon.
Šī daudzslāņu izpildes ķēde demonstrē apzinātus centienus apvienot ļaunprātīgus komponentus ar uzticamiem sistēmas procesiem, lai izvairītos no atklāšanas.
Slepenā vadības un kontroles infrastruktūra
Dohdoor izmanto DNS-over-HTTPS (DoH), lai pārvaldītu Command-and-Control (C2) saziņu. Šifrējot DNS vaicājumus HTTPS datplūsmā, ļaunprogrammatūra slēpj savu saziņu šķietami likumīgā šifrētā tīmekļa datplūsmā.
Draudu izpildītājs vēl vairāk slēpj infrastruktūru, maršrutējot C2 serverus caur Cloudflare tīklu. Tā rezultātā izejošā saziņa no apdraudētām sistēmām tiek parādīta kā standarta HTTPS datplūsma, kas vērsta uz uzticamu globālu IP adresi.
Šī pieeja efektīvi apiet tradicionālos aizsardzības mehānismus, tostarp:
- Uz DNS balstītas noteikšanas sistēmas un DNS iegrimes
Papildus tīkla apiešanas metodēm Dohdoor aktīvi atvieno sistēmas izsaukumus NTDLL.dll failā, lai apietu galapunktu noteikšanas un reaģēšanas (EDR) risinājumus, kas balstās uz lietotāja režīma API uzraudzību. Šī iespēja ievērojami samazina uzvedības noteikšanas iespējamību galapunktu līmenī.
Darbības mērķi un finansiālā motivācija
Pašlaik nav konstatēti apstiprināti pierādījumi par datu noplūdi. Izņemot Cobalt Strike Beacon izvietošanu kā papildu lietderīgo slodzi, nav novērota papildu pēdējā posma ļaunprogrammatūra.
Lai gan līdz šim nav konstatētas izspiedējvīrusu vai datu zādzības aktivitātes, analītiķi lēš, ka kampaņa, visticamāk, ir finansiāli motivēta. Šis secinājums ir balstīts uz viktimoloģijas modeli un rīku izvietošanu, kas parasti ir saistīta ar pēcekspluatācijas sistēmām, kuras tiek izmantotas monetizācijas nolūkos veiktos uzbrukumos.
Atribūcijas analīze un Ziemeļkorejas pārklāšanās
UAT-10027 grupas identitāte joprojām nav zināma. Tomēr pētnieki ir atklājuši taktiskas līdzības starp Dohdoor un LazarLoader — lejupielādētāju, kas iepriekš tika piedēvēts Ziemeļkorejas draudu grupai Lazarus.
Lai gan pastāv tehniskas pārklāšanās ar ar Lazarus saistīto ļaunprogrammatūru, kampaņas uzmanības centrā ir izglītība un veselības aprūpe, kas atšķiras no Lazarus tradicionālās mērķauditorijas, kas vērsta uz kriptovalūtu platformām un ar aizsardzību saistītām organizācijām.
Tomēr Ziemeļkorejas progresīvo pastāvīgo draudu (APT) dalībnieku vēsturiskā aktivitāte atklāj daļēju viktimoloģijas sakritību. Piemēram, Ziemeļkorejas operatori ir izvietojuši Maui izspiedējvīrusu pret veselības aprūpes organizācijām, un grupa Kimsuky ir mērķējusi uz izglītības iestādēm. Šie precedenti izceļ tematisku pārklāšanos ar UAT-10027 mērķauditorijas atlases profilu, lai gan nav noteikta precīza saistība.
Sarežģītu izvairīšanās metožu, selektīvas sektoru mērķēšanas un infrastruktūras slēpšanas kombinācija padara UAT-10027 par būtisku un mainīgu draudu, kam nepieciešama pastiprināta modrība kritiski svarīgajās pakalpojumu nozarēs.
