Dohdoor Backdoor

पहिले कागजात नगरिएको खतरा गतिविधि क्लस्टर कम्तिमा डिसेम्बर २०२५ देखि संयुक्त राज्य अमेरिकाभरि शिक्षा र स्वास्थ्य सेवा क्षेत्रहरूलाई लक्षित गर्दै चलिरहेको दुर्भावनापूर्ण अभियानसँग जोडिएको छ। सुरक्षा अनुसन्धानकर्ताहरूले UAT-१००२७ नामकरण अन्तर्गत यो गतिविधि ट्र्याक गरिरहेका छन्। अभियानको प्राथमिक उद्देश्य दोहडोर भनेर चिनिने नयाँ पहिचान गरिएको ब्याकडोर तैनाथ गर्नु हो।

धेरै शैक्षिक संस्थाहरू पहिले नै सम्झौता भइसकेका छन्, जसमा धेरै सम्बद्ध संस्थाहरूसँग सम्पर्क भएको विश्वविद्यालय पनि समावेश छ, जसले सम्भावित रूपमा आक्रमणको सतह विस्तार भएको सुझाव दिन्छ। वृद्ध हेरचाहमा विशेषज्ञता हासिल गर्ने स्वास्थ्य सेवा सुविधा पनि पीडितको रूपमा पुष्टि भएको छ, जसले अपरेशनको क्षेत्र-विशिष्ट फोकसलाई जोड दिन्छ।

संक्रमण श्रृंखला र मालवेयर तैनाती

यद्यपि सटीक प्रारम्भिक पहुँच भेक्टर अझै पनि अनिश्चित छ, अनुसन्धानकर्ताहरूले अभियान सामाजिक इन्जिनियरिङ-आधारित फिसिङ रणनीतिहरूबाट सुरु हुने शंका गर्छन् जसले अन्ततः दुर्भावनापूर्ण पावरशेल स्क्रिप्टको कार्यान्वयनलाई ट्रिगर गर्दछ।

संक्रमणको क्रम धेरै चरणहरूमा प्रकट हुन्छ:

• PowerShell स्क्रिप्टले रिमोट स्टेजिङ सर्भरबाट Windows ब्याच फाइल पुन: प्राप्त गर्दछ र कार्यान्वयन गर्दछ।
• त्यसपछि ब्याच फाइलले खराब DLL फाइल डाउनलोड गर्छ, जसलाई सामान्यतया 'propsys.dll' वा 'batmeter.dll' भनिन्छ।
• डोहडोरको रूपमा पहिचान गरिएको DLL, 'Fondue.exe,' 'mblctr.exe,' वा 'ScreenClippingHost.exe' जस्ता वैध विन्डोज बाइनरीहरू प्रयोग गरेर DLL साइड-लोडिङ मार्फत कार्यान्वयन गरिन्छ।
• एकपटक सक्रिय भएपछि, ब्याकडोरले सिधै मेमोरीमा माध्यमिक पेलोड तान्छ र यसलाई कार्यान्वयन गर्छ, जुन कोबाल्ट स्ट्राइक बीकन हो भनेर मूल्याङ्कन गरिन्छ।

यो बहु-स्तरीय कार्यान्वयन श्रृंखलाले पत्ता लगाउनबाट बच्न विश्वसनीय प्रणाली प्रक्रियाहरूसँग खराब कम्पोनेन्टहरू मिसाउने जानाजानी प्रयासहरू प्रदर्शन गर्दछ।

गोप्य कमाण्ड-एण्ड-नियन्त्रण पूर्वाधार

डोहडोरले कमाण्ड-एन्ड-कन्ट्रोल (C2) सञ्चारहरू व्यवस्थापन गर्न DNS-ओभर-HTTPS (DoH) को प्रयोग गर्छ। HTTPS ट्राफिक भित्र DNS क्वेरीहरू इन्क्रिप्ट गरेर, मालवेयरले वैध इन्क्रिप्टेड वेब ट्राफिक भित्र आफ्नो सञ्चारहरू लुकाउँछ।

खतरा अभिनेताले C2 सर्भरहरूलाई Cloudflare को नेटवर्क मार्फत राउट गरेर पूर्वाधारलाई अझ अस्पष्ट बनाउँछ। फलस्वरूप, सम्झौता गरिएका प्रणालीहरूबाट आउटबाउन्ड सञ्चारहरू विश्वसनीय विश्वव्यापी IP ठेगाना तर्फ निर्देशित मानक HTTPS ट्राफिकको रूपमा देखा पर्दछ।

यो दृष्टिकोणले परम्परागत रक्षात्मक संयन्त्रहरूलाई प्रभावकारी रूपमा बाइपास गर्छ, जसमा समावेश छन्:

• DNS-आधारित पत्ता लगाउने प्रणाली र DNS सिंकहोलहरू

• शंकास्पद डोमेन लुकअपहरूलाई फ्ल्याग गर्ने नेटवर्क निगरानी उपकरणहरू

• देखिने DNS प्रश्नहरूमा निर्भर परम्परागत ट्राफिक विश्लेषण समाधानहरू

नेटवर्क चोरी प्रविधिहरूको अतिरिक्त, डोहडोरले प्रयोगकर्ता-मोड API अनुगमनमा निर्भर हुने एन्डपोइन्ट पत्ता लगाउने र प्रतिक्रिया (EDR) समाधानहरूलाई रोक्न NTDLL.dll मा प्रणाली कलहरूलाई सक्रिय रूपमा अनहुक गर्दछ। यो क्षमताले एन्डपोइन्ट स्तरमा व्यवहारिक पत्ता लगाउने सम्भावनालाई उल्लेखनीय रूपमा कम गर्छ।

सञ्चालन उद्देश्य र वित्तीय प्रेरणा

हाल, डेटा एक्सफिल्ट्रेसनको कुनै पुष्टि गरिएको प्रमाण पहिचान गरिएको छैन। कोबाल्ट स्ट्राइक बीकनको फलो-अन पेलोडको रूपमा तैनाथी बाहेक, कुनै अतिरिक्त अन्तिम-चरणको मालवेयर अवलोकन गरिएको छैन।

अहिलेसम्म ransomware वा डेटा चोरी गतिविधिको अभाव भए पनि, विश्लेषकहरूले यो अभियान आर्थिक रूपमा प्रेरित भएको अनुमान गर्छन्। यो निष्कर्ष पीडित विज्ञान ढाँचा र मुद्रीकरण-संचालित घुसपैठहरूमा प्रयोग हुने शोषण पछिको फ्रेमवर्कसँग सम्बन्धित उपकरणहरूको तैनातीमा आधारित छ।

विशेषता विश्लेषण र उत्तर कोरियाली ओभरल्यापहरू

UAT-10027 पछाडिको समूहको पहिचान अज्ञात छ। यद्यपि, अनुसन्धानकर्ताहरूले दोहदूर र लाजारलोडर बीच रणनीतिक समानताहरू पहिचान गरेका छन्, जुन पहिले उत्तर कोरियाली खतरा समूह लाजारससँग सम्बन्धित डाउनलोडर थियो।

लाजरस-लिङ्क गरिएको मालवेयरसँग प्राविधिक ओभरल्यापहरू अवस्थित भए तापनि, शिक्षा र स्वास्थ्य सेवामा अभियानको ध्यान लाजरसको क्रिप्टोकरेन्सी प्लेटफर्महरू र रक्षा-सम्बन्धित संस्थाहरूलाई परम्परागत लक्षित गर्ने भन्दा फरक छ।

तैपनि, उत्तर कोरियाली उन्नत निरन्तर खतरा (APT) अभिनेताहरूको ऐतिहासिक गतिविधिले आंशिक पीडितता पङ्क्तिबद्धता प्रकट गर्दछ। उदाहरणका लागि, उत्तर कोरियाली अपरेटरहरूले स्वास्थ्य सेवा संस्थाहरू विरुद्ध माउई र्यान्समवेयर तैनाथ गरेका छन्, र किमसुकी समूहले शैक्षिक संस्थाहरूलाई लक्षित गरेको छ। यी उदाहरणहरूले UAT-10027 को लक्षित प्रोफाइलसँग विषयगत ओभरल्यापहरू हाइलाइट गर्दछ, यद्यपि कुनै निश्चित श्रेय स्थापित गरिएको छैन।

परिष्कृत चोरी प्रविधि, छनौट क्षेत्र लक्ष्यीकरण, र पूर्वाधार लुकाउने कार्यको संयोजनले UAT-10027 लाई एक महत्वपूर्ण र विकसित खतराको रूपमा राख्छ जसलाई महत्वपूर्ण सेवा क्षेत्रहरूमा उच्च सतर्कता आवश्यक पर्दछ।