Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Pintu belakang Pintu Belakang Dohdoor

Pintu Belakang Dohdoor

Menjelang Mezo pada Pintu belakang, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Satu kelompok aktiviti ancaman yang sebelum ini tidak didokumenkan telah dikaitkan dengan kempen berniat jahat yang sedang dijalankan yang menyasarkan sektor pendidikan dan penjagaan kesihatan di seluruh Amerika Syarikat sekurang-kurangnya sejak Disember 2025. Penyelidik keselamatan sedang menjejaki aktiviti ini di bawah gelaran UAT-10027. Objektif utama kempen ini adalah untuk menggunakan pintu belakang yang baru dikenal pasti yang dikenali sebagai Dohdoor.

Beberapa institusi pendidikan telah pun dikompromikan, termasuk sebuah universiti yang mempunyai sambungan ke beberapa institusi gabungan, menunjukkan potensi serangan yang diperluas. Sebuah fasiliti penjagaan kesihatan yang pakar dalam penjagaan warga emas juga telah disahkan sebagai mangsa, sekali gus menggariskan fokus khusus sektor operasi tersebut.

Rantaian Jangkitan dan Pelaksanaan Perisian Hasad

Walaupun vektor akses awal yang tepat masih belum ditentukan, penyiasat mengesyaki kempen itu bermula dengan taktik pancingan data berasaskan kejuruteraan sosial yang akhirnya mencetuskan pelaksanaan skrip PowerShell yang berniat jahat.

Urutan jangkitan berlaku dalam beberapa peringkat:

  • Skrip PowerShell mengambil dan melaksanakan fail kelompok Windows daripada pelayan pementasan jauh.
  • Fail kelompok kemudian memuat turun fail DLL yang berniat jahat, biasanya dinamakan 'propsys.dll' atau 'batmeter.dll.'
  • DLL, yang dikenal pasti sebagai Dohdoor, dilaksanakan melalui pemuatan sisi DLL menggunakan binari Windows yang sah seperti 'Fondue.exe,' 'mblctr.exe,' atau 'ScreenClippingHost.exe.'
  • Sebaik sahaja aktif, pintu belakang menarik muatan sekunder terus ke dalam memori dan melaksanakannya, yang dinilai sebagai Cobalt Strike Beacon.

Rantaian pelaksanaan berbilang lapisan ini menunjukkan usaha yang disengajakan untuk menggabungkan komponen berniat jahat dengan proses sistem yang dipercayai bagi mengelakkan pengesanan.

Infrastruktur Perintah dan Kawalan Tersembunyi

Dohdoor memanfaatkan DNS-over-HTTPS (DoH) untuk mengurus komunikasi Perintah-dan-Kawalan (C2). Dengan menyulitkan pertanyaan DNS dalam trafik HTTPS, perisian hasad menyembunyikan komunikasinya dalam trafik web yang disulitkan yang nampaknya sah.

Aktor ancaman tersebut seterusnya mengaburkan infrastruktur dengan menghalakan pelayan C2 melalui rangkaian Cloudflare. Akibatnya, komunikasi keluar daripada sistem yang diceroboh muncul sebagai trafik HTTPS standard yang diarahkan ke alamat IP global yang dipercayai.

Pendekatan ini berkesan memintas mekanisme pertahanan tradisional, termasuk:

  • Sistem pengesanan berasaskan DNS dan lubang benam DNS
  • Alat pemantauan rangkaian yang menandakan carian domain yang mencurigakan
  • Penyelesaian analisis trafik konvensional bergantung pada pertanyaan DNS yang boleh dilihat

Selain teknik pengelakan rangkaian, Dohdoor secara aktif menyahkaitkan panggilan sistem dalam NTDLL.dll untuk memintas penyelesaian pengesanan dan tindak balas titik akhir (EDR) yang bergantung pada pemantauan API mod pengguna. Keupayaan ini mengurangkan kemungkinan pengesanan tingkah laku pada peringkat titik akhir dengan ketara.

Objektif Operasi dan Motivasi Kewangan

Pada masa ini, tiada bukti yang disahkan tentang penyusupan data telah dikenal pasti. Selain daripada penggunaan Cobalt Strike Beacon sebagai muatan susulan, tiada perisian hasad peringkat akhir tambahan telah diperhatikan.

Walaupun setakat ini tiada aktiviti ransomware atau kecurian data, penganalisis menilai bahawa kempen tersebut mungkin bermotifkan kewangan. Kesimpulan ini adalah berdasarkan corak viktimologi dan penggunaan perkakasan yang biasanya dikaitkan dengan rangka kerja pasca eksploitasi yang digunakan dalam pencerobohan yang didorong oleh pengewangan.

Analisis Atribusi dan Pertindihan Korea Utara

Identiti kumpulan di sebalik UAT-10027 masih tidak diketahui. Walau bagaimanapun, para penyelidik telah mengenal pasti persamaan taktikal antara Dohdoor dan LazarLoader, sebuah pemuat turun yang sebelum ini dikaitkan dengan kumpulan ancaman Korea Utara Lazarus.

Walaupun terdapat pertindihan teknikal dengan perisian hasad yang berkaitan dengan Lazarus, tumpuan kempen terhadap pendidikan dan penjagaan kesihatan berbeza daripada penyasaran tradisional Lazarus terhadap platform mata wang kripto dan entiti berkaitan pertahanan.

Walau bagaimanapun, aktiviti sejarah daripada pelaku ancaman berterusan maju (APT) Korea Utara mendedahkan penjajaran viktimologi separa. Contohnya, pengendali Korea Utara telah menggunakan ransomware Maui terhadap organisasi penjagaan kesihatan, dan kumpulan Kimsuky telah menyasarkan institusi pendidikan. Preseden ini menonjolkan pertindihan tematik dengan profil penyasaran UAT-10027, walaupun tiada atribusi muktamad telah diwujudkan.

Gabungan teknik pengelakan yang canggih, penyasaran sektor terpilih dan penyembunyian infrastruktur meletakkan UAT-10027 sebagai ancaman yang ketara dan berkembang yang memerlukan kewaspadaan yang dipertingkatkan merentasi sektor perkhidmatan kritikal.

Trending

FedEx Express - Penghantaran Anda Diterima Penipuan...

Pancingan data, perisian hasad, Spam
Kekal berwaspada ketika berurusan dengan e-mel yang tidak dijangka adalah penting dalam landskap ancaman hari ini. Penjenayah siber secara rutin menyamar sebagai jenama terkenal untuk mengeksploitasi kepercayaan dan rasa ingin tahu. E-mel yang dipanggil 'FedEx Express - Penghantaran Anda Diterima' adalah contoh utama taktik ini. Walaupun ia kelihatan datang daripada perkhidmatan kurier yang...

Paling banyak dilihat

Memuatkan...