Dohdoor Backdoor

Tegen Mezo in Achterdeurtjes, Geavanceerde aanhoudende dreiging (APT)

Vertalen naar:

Een voorheen ongedocumenteerde cluster van dreigingsactiviteiten is in verband gebracht met een aanhoudende kwaadaardige campagne die zich sinds ten minste december 2025 richt op de onderwijs- en gezondheidszorgsector in de Verenigde Staten. Beveiligingsonderzoekers volgen deze activiteit onder de aanduiding UAT-10027. Het primaire doel van de campagne is het implementeren van een recent ontdekte backdoor, bekend als Dohdoor.

Meerdere onderwijsinstellingen zijn al getroffen, waaronder een universiteit met verbindingen naar verschillende aangesloten instellingen, wat wijst op een mogelijk groter aanvalsoppervlak. Ook een zorginstelling gespecialiseerd in ouderenzorg is bevestigd als slachtoffer, wat de sectorspecifieke focus van de operatie onderstreept.

Inhoudsopgave

Infectieketen en verspreiding van malware

Hoewel de precieze manier waarop de eerste toegang werd verkregen nog onbekend is, vermoeden onderzoekers dat de campagne begint met phishingtactieken gebaseerd op social engineering, die uiteindelijk leiden tot de uitvoering van een kwaadaardig PowerShell-script.

Het infectieproces verloopt in meerdere fasen:

Het PowerShell-script haalt een Windows-batchbestand op van een externe testserver en voert dit uit.
Het batchbestand downloadt vervolgens een kwaadaardig DLL-bestand, meestal met de naam 'propsys.dll' of 'batmeter.dll'.
De DLL, geïdentificeerd als Dohdoor, wordt uitgevoerd via DLL-sideloading met behulp van legitieme Windows-binaire bestanden zoals 'Fondue.exe', 'mblctr.exe' of 'ScreenClippingHost.exe'.
Zodra de backdoor actief is, laadt deze een secundaire payload rechtstreeks in het geheugen en voert deze uit. Deze payload wordt herkend als een Cobalt Strike Beacon.

Deze meerlagige uitvoeringsketen toont opzettelijke pogingen aan om kwaadaardige componenten te vermengen met vertrouwde systeemprocessen om detectie te omzeilen.

Verborgen commandostructuur

Dohdoor maakt gebruik van DNS-over-HTTPS (DoH) om Command-and-Control (C2)-communicatie te beheren. Door DNS-query's binnen HTTPS-verkeer te versleutelen, verbergt de malware zijn communicatie in ogenschijnlijk legitiem, versleuteld webverkeer.

De aanvaller verbergt de infrastructuur verder door C2-servers via het netwerk van Cloudflare te routeren. Hierdoor lijkt uitgaande communicatie van gecompromitteerde systemen op standaard HTTPS-verkeer gericht aan een vertrouwd, wereldwijd IP-adres.

Deze aanpak omzeilt effectief traditionele verdedigingsmechanismen, waaronder:

DNS-gebaseerde detectiesystemen en DNS-sinkholes

Netwerkmonitoringtools die verdachte domeinzoekacties signaleren.

Conventionele oplossingen voor verkeersanalyse zijn gebaseerd op zichtbare DNS-query's.

Naast netwerkontwijktechnieken ontkoppelt Dohdoor actief systeemoproepen in NTDLL.dll om endpointdetectie- en responsoplossingen (EDR) te omzeilen die afhankelijk zijn van API-monitoring in de gebruikersmodus. Deze mogelijkheid verkleint de kans op gedragsdetectie op endpointniveau aanzienlijk.

Operationele doelstellingen en financiële motivatie

Momenteel zijn er geen bevestigde aanwijzingen voor data-exfiltratie gevonden. Afgezien van de inzet van Cobalt Strike Beacon als vervolg-payload, is er geen andere malware in de laatste fase waargenomen.

Ondanks het feit dat er tot nu toe geen ransomware of datadiefstal heeft plaatsgevonden, schatten analisten in dat de campagne waarschijnlijk financieel gemotiveerd is. Deze conclusie is gebaseerd op het patroon van de slachtoffers en de inzet van tools die doorgaans worden gebruikt in post-exploitatie-frameworks die worden ingezet bij inbraken met een focus op het genereren van inkomsten.

Attributieanalyse en overlappingen met Noord-Korea

De identiteit van de groep achter UAT-10027 is nog steeds onbekend. Onderzoekers hebben echter tactische overeenkomsten vastgesteld tussen Dohdoor en LazarLoader, een downloader die eerder werd toegeschreven aan de Noord-Koreaanse dreigingsgroep Lazarus.

Hoewel er technische overeenkomsten zijn met malware die aan Lazarus is gekoppeld, wijkt de focus van de campagne op onderwijs en gezondheidszorg af van de traditionele doelwitten van Lazarus: cryptovalutaplatformen en defensiegerelateerde entiteiten.

Niettemin wijst historisch onderzoek van Noord-Koreaanse APT-actoren (Advanced Persistent Threat) op een gedeeltelijke overeenkomst in slachtofferprofiel. Zo hebben Noord-Koreaanse daders bijvoorbeeld de Maui-ransomware ingezet tegen zorginstellingen, en heeft de groep Kimsuky zich gericht op onderwijsinstellingen. Deze voorbeelden tonen thematische overlappingen met het doelwitprofiel van UAT-10027, hoewel er nog geen definitieve toewijzing is vastgesteld.

De combinatie van geavanceerde ontwijkingstechnieken, selectieve sectorgerichte aanvallen en het verbergen van de infrastructuur maakt van UAT-10027 een aanzienlijke en zich ontwikkelende dreiging die verhoogde waakzaamheid vereist in cruciale dienstensectoren.

Het faillissementsverzoek van de betalingsverwerker Digital River GmbH van EnigmaSoft heeft geen invloed op de anti-malwarebescherming van SpyHunter-klanten

Zoeken

Veranderen van regio

Dohdoor Backdoor

Infectieketen en verspreiding van malware

Verborgen commandostructuur

Operationele doelstellingen en financiële motivatie

Attributieanalyse en overlappingen met Noord-Korea

Commentaar toevoegen

Trending

Notifygear.com

Getfastbrowser.download

Payload ransomware

Meest bekeken

Hoe de fout 'Printerstuurprogramma is niet...

Hoe te repareren 'macOS kan niet verifiëren dat deze...

Discord toont zwart scherm bij delen van scherm