Rabatttilbud for flere lisenser
Trusseldatabase Bakdører Dohdoor Bakdør

Dohdoor Bakdør

Med Mezo i Bakdører, Advanced Persistent Threat (APT)
Oversett til:

En tidligere udokumentert trusselaktivitetsklynge har blitt knyttet til en pågående ondsinnet kampanje rettet mot utdannings- og helsesektoren over hele USA siden minst desember 2025. Sikkerhetsforskere sporer denne aktiviteten under betegnelsen UAT-10027. Hovedmålet med kampanjen er å distribuere en nylig identifisert bakdør kjent som Dohdoor.

Flere utdanningsinstitusjoner har allerede blitt kompromittert, inkludert et universitet med tilknytning til flere tilknyttede institusjoner, noe som tyder på en potensielt utvidet angrepsflate. Et helseforetak som spesialiserer seg på eldreomsorg er også bekreftet som offer, noe som understreker operasjonens sektorspesifikke fokus.

Infeksjonskjede og implementering av skadelig programvare

Selv om den nøyaktige initiale tilgangsvektoren fortsatt er ukjent, mistenker etterforskerne at kampanjen starter med phishing-taktikker basert på sosial manipulering som til slutt utløser kjøringen av et ondsinnet PowerShell-skript.

Infeksjonsforløpet utfolder seg i flere stadier:

  • PowerShell-skriptet henter og kjører en Windows-batchfil fra en ekstern staging-server.
  • Batch-filen laster deretter ned en skadelig DLL-fil, vanligvis kalt «propsys.dll» eller «batmeter.dll».
  • DLL-filen, identifisert som Dohdoor, kjøres via DLL-sidelasting ved hjelp av legitime Windows-binærfiler som «Fondue.exe», «mblctr.exe» eller «ScreenClippingHost.exe».
  • Når den er aktiv, trekker bakdøren en sekundær nyttelast direkte inn i minnet og utfører den, vurdert til å være en Cobalt Strike Beacon.

Denne flerlags utførelseskjeden demonstrerer bevisste innsats for å blande skadelige komponenter med pålitelige systemprosesser for å unngå deteksjon.

Hemmelig kommando- og kontrollinfrastruktur

Dohdoor bruker DNS-over-HTTPS (DoH) til å administrere kommando-og-kontroll (C2)-kommunikasjon. Ved å kryptere DNS-spørringer i HTTPS-trafikk skjuler skadevaren kommunikasjonen sin i tilsynelatende legitim kryptert nettrafikk.

Trusselaktøren tilslører infrastrukturen ytterligere ved å rute C2-servere gjennom Cloudflares nettverk. Som et resultat vises utgående kommunikasjon fra kompromitterte systemer som standard HTTPS-trafikk rettet mot en klarert global IP-adresse.

Denne tilnærmingen omgår effektivt tradisjonelle forsvarsmekanismer, inkludert:

  • DNS-baserte deteksjonssystemer og DNS-synkehull
  • Nettverksovervåkingsverktøy som flagger mistenkelige domeneoppslag
  • Konvensjonelle trafikkanalyseløsninger som er avhengige av synlige DNS-spørringer

I tillegg til teknikker for nettverksunngåelse, kobler Dohdoor aktivt systemkall i NTDLL.dll for å omgå løsninger for endepunktdeteksjon og -respons (EDR) som er avhengige av API-overvåking i brukermodus. Denne funksjonen reduserer sannsynligheten for atferdsdeteksjon på endepunktnivå betydelig.

Operasjonelle mål og økonomisk motivasjon

For øyeblikket er det ikke identifisert noen bekreftede bevis for datausfiltrering. Bortsett fra utrullingen av Cobalt Strike Beacon som en oppfølgende nyttelast, er det ikke observert ytterligere skadelig programvare i siste fase.

Til tross for fraværet av ransomware- eller datatyveriaktivitet så langt, vurderer analytikere at kampanjen sannsynligvis er økonomisk motivert. Denne konklusjonen er basert på offermønsteret og utrullingen av verktøy som vanligvis er forbundet med rammeverk etter utnyttelse som brukes i inntrenging drevet av inntektsgenerering.

Attribusjonsanalyse og nordkoreanske overlappinger

Identiteten til gruppen bak UAT-10027 er fortsatt ukjent. Forskere har imidlertid identifisert taktiske likheter mellom Dohdoor og LazarLoader, en nedlaster som tidligere ble tilskrevet den nordkoreanske trusselgruppen Lazarus.

Selv om det finnes tekniske overlapp med Lazarus-relatert skadevare, avviker kampanjens fokus på utdanning og helsevesen fra Lazarus' tradisjonelle målretting mot kryptovalutaplattformer og forsvarsrelaterte enheter.

Likevel avslører historisk aktivitet fra nordkoreanske aktører innen avanserte vedvarende trusler (APT) delvis samsvar i offersystemet. For eksempel har nordkoreanske operatører distribuert Maui-ransomware mot helseorganisasjoner, og gruppen Kimsuky har målrettet utdanningsinstitusjoner. Disse presedensene fremhever tematiske overlapp med UAT-10027s målrettingsprofil, selv om ingen definitiv tilskrivelse er etablert.

Kombinasjonen av sofistikerte unnvikelsesteknikker, selektiv sektormålretting og skjuling av infrastruktur posisjonerer UAT-10027 som en betydelig og utviklende trussel som krever økt årvåkenhet på tvers av kritiske tjenestesektorer.

Trender

FedEx Express – E-postsvindel med «Forsendelsene...

Phishing, Skadelig programvare, Spam
Det er avgjørende å være årvåken når man håndterer uventede e-poster i dagens trussellandskap. Nettkriminelle utgir seg rutinemessig for å være kjente merkevarer for å utnytte tillit og nysgjerrighet. De såkalte e-postene «FedEx Express – Dine forsendelser ble mottatt» er et godt eksempel på denne taktikken. Selv om de ser ut til å komme fra en legitim budtjeneste, er ikke disse meldingene...

Mest sett

Laster inn...