Dohdoor Backdoor

ਇੱਕ ਪਹਿਲਾਂ ਤੋਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਧਮਕੀ ਗਤੀਵਿਧੀ ਸਮੂਹ ਨੂੰ ਘੱਟੋ-ਘੱਟ ਦਸੰਬਰ 2025 ਤੋਂ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਵਿੱਚ ਸਿੱਖਿਆ ਅਤੇ ਸਿਹਤ ਸੰਭਾਲ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਇੱਕ ਚੱਲ ਰਹੀ ਖਤਰਨਾਕ ਮੁਹਿੰਮ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ UAT-10027 ਨਾਮ ਹੇਠ ਇਸ ਗਤੀਵਿਧੀ ਨੂੰ ਟਰੈਕ ਕਰ ਰਹੇ ਹਨ। ਮੁਹਿੰਮ ਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਦੋਹਡੋਰ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਨਵੇਂ ਪਛਾਣੇ ਗਏ ਬੈਕਡੋਰ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨਾ ਹੈ।

ਕਈ ਵਿਦਿਅਕ ਸੰਸਥਾਵਾਂ ਪਹਿਲਾਂ ਹੀ ਪ੍ਰਭਾਵਿਤ ਹੋ ਚੁੱਕੀਆਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਇੱਕ ਯੂਨੀਵਰਸਿਟੀ ਵੀ ਸ਼ਾਮਲ ਹੈ ਜਿਸ ਨਾਲ ਕਈ ਸੰਬੰਧਿਤ ਸੰਸਥਾਵਾਂ ਨਾਲ ਸੰਪਰਕ ਹੈ, ਜੋ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਹਮਲੇ ਦੀ ਸਤ੍ਹਾ ਨੂੰ ਵਧਾਉਣ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ। ਬਜ਼ੁਰਗਾਂ ਦੀ ਦੇਖਭਾਲ ਵਿੱਚ ਮਾਹਰ ਇੱਕ ਸਿਹਤ ਸੰਭਾਲ ਸਹੂਲਤ ਨੂੰ ਵੀ ਪੀੜਤ ਵਜੋਂ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ ਹੈ, ਜੋ ਕਿ ਕਾਰਵਾਈ ਦੇ ਖੇਤਰ-ਵਿਸ਼ੇਸ਼ ਫੋਕਸ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।

ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਅਤੇ ਮਾਲਵੇਅਰ ਡਿਪਲਾਇਮੈਂਟ

ਹਾਲਾਂਕਿ ਸਟੀਕ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਵੈਕਟਰ ਅਜੇ ਵੀ ਨਿਰਧਾਰਤ ਨਹੀਂ ਹੈ, ਜਾਂਚਕਰਤਾਵਾਂ ਨੂੰ ਸ਼ੱਕ ਹੈ ਕਿ ਇਹ ਮੁਹਿੰਮ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ-ਅਧਾਰਤ ਫਿਸ਼ਿੰਗ ਰਣਨੀਤੀਆਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜੋ ਅੰਤ ਵਿੱਚ ਇੱਕ ਖਤਰਨਾਕ ਪਾਵਰਸ਼ੈਲ ਸਕ੍ਰਿਪਟ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਚਾਲੂ ਕਰਦੀ ਹੈ।

ਲਾਗ ਦਾ ਕ੍ਰਮ ਕਈ ਪੜਾਵਾਂ ਵਿੱਚ ਪ੍ਰਗਟ ਹੁੰਦਾ ਹੈ:

• ਪਾਵਰਸ਼ੈਲ ਸਕ੍ਰਿਪਟ ਇੱਕ ਰਿਮੋਟ ਸਟੇਜਿੰਗ ਸਰਵਰ ਤੋਂ ਇੱਕ ਵਿੰਡੋਜ਼ ਬੈਚ ਫਾਈਲ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ ਅਤੇ ਚਲਾਉਂਦੀ ਹੈ।
• ਬੈਚ ਫਾਈਲ ਫਿਰ ਇੱਕ ਖਤਰਨਾਕ DLL ਫਾਈਲ ਡਾਊਨਲੋਡ ਕਰਦੀ ਹੈ, ਜਿਸਨੂੰ ਆਮ ਤੌਰ 'ਤੇ 'propsys.dll' ਜਾਂ 'batmeter.dll' ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
• DLL, ਜਿਸਨੂੰ ਦੋਹਡੋਰ ਵਜੋਂ ਪਛਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਨੂੰ 'Fondue.exe,' 'mblctr.exe,' ਜਾਂ 'ScreenClippingHost.exe' ਵਰਗੀਆਂ ਜਾਇਜ਼ ਵਿੰਡੋਜ਼ ਬਾਈਨਰੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਰਾਹੀਂ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ।
• ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ 'ਤੇ, ਬੈਕਡੋਰ ਇੱਕ ਸੈਕੰਡਰੀ ਪੇਲੋਡ ਨੂੰ ਸਿੱਧਾ ਮੈਮੋਰੀ ਵਿੱਚ ਖਿੱਚਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਚਲਾਉਂਦਾ ਹੈ, ਜਿਸਦਾ ਮੁਲਾਂਕਣ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ ਹੁੰਦਾ ਹੈ।

ਇਹ ਬਹੁ-ਪੱਧਰੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਚੇਨ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਖਤਰਨਾਕ ਹਿੱਸਿਆਂ ਨੂੰ ਭਰੋਸੇਯੋਗ ਸਿਸਟਮ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨਾਲ ਮਿਲਾਉਣ ਦੇ ਜਾਣਬੁੱਝ ਕੇ ਕੀਤੇ ਗਏ ਯਤਨਾਂ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।

ਗੁਪਤ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਬੁਨਿਆਦੀ ਢਾਂਚਾ

ਦੋਹਡੋਰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸੰਚਾਰਾਂ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ ਲਈ DNS-ਓਵਰ-HTTPS (DoH) ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। HTTPS ਟ੍ਰੈਫਿਕ ਦੇ ਅੰਦਰ DNS ਪੁੱਛਗਿੱਛਾਂ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਕੇ, ਮਾਲਵੇਅਰ ਆਪਣੇ ਸੰਚਾਰਾਂ ਨੂੰ ਜਾਪਦੇ ਜਾਇਜ਼ ਏਨਕ੍ਰਿਪਟਡ ਵੈੱਬ ਟ੍ਰੈਫਿਕ ਦੇ ਅੰਦਰ ਛੁਪਾਉਂਦਾ ਹੈ।

ਇਹ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਕਲਾਕਾਰ C2 ਸਰਵਰਾਂ ਨੂੰ Cloudflare ਦੇ ਨੈੱਟਵਰਕ ਰਾਹੀਂ ਰੂਟ ਕਰਕੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਹੋਰ ਵੀ ਅਸਪਸ਼ਟ ਕਰ ਦਿੰਦਾ ਹੈ। ਨਤੀਜੇ ਵਜੋਂ, ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੋਂ ਬਾਹਰ ਜਾਣ ਵਾਲੇ ਸੰਚਾਰ ਇੱਕ ਭਰੋਸੇਯੋਗ ਗਲੋਬਲ IP ਪਤੇ ਵੱਲ ਨਿਰਦੇਸ਼ਿਤ ਮਿਆਰੀ HTTPS ਟ੍ਰੈਫਿਕ ਦੇ ਰੂਪ ਵਿੱਚ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ।

ਇਹ ਪਹੁੰਚ ਰਵਾਇਤੀ ਰੱਖਿਆਤਮਕ ਵਿਧੀਆਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਬਾਈਪਾਸ ਕਰਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• DNS-ਅਧਾਰਿਤ ਖੋਜ ਪ੍ਰਣਾਲੀਆਂ ਅਤੇ DNS ਸਿੰਕਹੋਲਜ਼

• ਨੈੱਟਵਰਕ ਨਿਗਰਾਨੀ ਟੂਲ ਜੋ ਸ਼ੱਕੀ ਡੋਮੇਨ ਲੁੱਕਅੱਪ ਨੂੰ ਫਲੈਗ ਕਰਦੇ ਹਨ

• ਰਵਾਇਤੀ ਟ੍ਰੈਫਿਕ ਵਿਸ਼ਲੇਸ਼ਣ ਹੱਲ ਜੋ ਦਿਖਾਈ ਦੇਣ ਵਾਲੇ DNS ਸਵਾਲਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ

ਨੈੱਟਵਰਕ ਚੋਰੀ ਤਕਨੀਕਾਂ ਤੋਂ ਇਲਾਵਾ, ਦੋਹਡੋਰ NTDLL.dll ਵਿੱਚ ਸਿਸਟਮ ਕਾਲਾਂ ਨੂੰ ਸਰਗਰਮੀ ਨਾਲ ਅਨਹੂਕ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਐਂਡਪੁਆਇੰਟ ਡਿਟੈਕਸ਼ਨ ਅਤੇ ਰਿਸਪਾਂਸ (EDR) ਹੱਲਾਂ ਨੂੰ ਰੋਕਿਆ ਜਾ ਸਕੇ ਜੋ ਯੂਜ਼ਰ-ਮੋਡ API ਨਿਗਰਾਨੀ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ। ਇਹ ਸਮਰੱਥਾ ਐਂਡਪੁਆਇੰਟ ਪੱਧਰ 'ਤੇ ਵਿਵਹਾਰਕ ਖੋਜ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਕਾਫ਼ੀ ਘਟਾਉਂਦੀ ਹੈ।

ਕਾਰਜਸ਼ੀਲ ਉਦੇਸ਼ ਅਤੇ ਵਿੱਤੀ ਪ੍ਰੇਰਣਾ

ਇਸ ਵੇਲੇ, ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਦੇ ਕੋਈ ਪੁਸ਼ਟੀ ਕੀਤੇ ਸਬੂਤ ਦੀ ਪਛਾਣ ਨਹੀਂ ਕੀਤੀ ਗਈ ਹੈ। ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ ਨੂੰ ਫਾਲੋ-ਆਨ ਪੇਲੋਡ ਵਜੋਂ ਤੈਨਾਤੀ ਤੋਂ ਇਲਾਵਾ, ਕੋਈ ਵਾਧੂ ਅੰਤਿਮ-ਪੜਾਅ ਵਾਲਾ ਮਾਲਵੇਅਰ ਨਹੀਂ ਦੇਖਿਆ ਗਿਆ ਹੈ।

ਹੁਣ ਤੱਕ ਰੈਨਸਮਵੇਅਰ ਜਾਂ ਡੇਟਾ ਚੋਰੀ ਦੀ ਗਤੀਵਿਧੀ ਦੀ ਅਣਹੋਂਦ ਦੇ ਬਾਵਜੂਦ, ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਦਾ ਮੁਲਾਂਕਣ ਹੈ ਕਿ ਇਹ ਮੁਹਿੰਮ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਹੈ। ਇਹ ਸਿੱਟਾ ਪੀੜਤ ਵਿਗਿਆਨ ਪੈਟਰਨ ਅਤੇ ਮੁਦਰੀਕਰਨ-ਸੰਚਾਲਿਤ ਘੁਸਪੈਠਾਂ ਵਿੱਚ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੇ ਫਰੇਮਵਰਕ ਨਾਲ ਜੁੜੇ ਟੂਲਿੰਗ ਦੀ ਤੈਨਾਤੀ 'ਤੇ ਅਧਾਰਤ ਹੈ।

ਵਿਸ਼ੇਸ਼ਤਾ ਵਿਸ਼ਲੇਸ਼ਣ ਅਤੇ ਉੱਤਰੀ ਕੋਰੀਆਈ ਓਵਰਲੈਪ

UAT-10027 ਦੇ ਪਿੱਛੇ ਮੌਜੂਦ ਸਮੂਹ ਦੀ ਪਛਾਣ ਅਜੇ ਅਣਜਾਣ ਹੈ। ਹਾਲਾਂਕਿ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦੋਹਦੂਰ ਅਤੇ ਲਾਜ਼ਰਲੋਡਰ ਵਿਚਕਾਰ ਰਣਨੀਤਕ ਸਮਾਨਤਾਵਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜੋ ਕਿ ਪਹਿਲਾਂ ਉੱਤਰੀ ਕੋਰੀਆਈ ਧਮਕੀ ਸਮੂਹ ਲਾਜ਼ਰਸ ਨਾਲ ਸੰਬੰਧਿਤ ਇੱਕ ਡਾਊਨਲੋਡਰ ਸੀ।

ਜਦੋਂ ਕਿ ਲਾਜ਼ਰਸ ਨਾਲ ਜੁੜੇ ਮਾਲਵੇਅਰ ਨਾਲ ਤਕਨੀਕੀ ਓਵਰਲੈਪ ਮੌਜੂਦ ਹਨ, ਸਿੱਖਿਆ ਅਤੇ ਸਿਹਤ ਸੰਭਾਲ 'ਤੇ ਮੁਹਿੰਮ ਦਾ ਧਿਆਨ ਲਾਜ਼ਰਸ ਦੇ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਪਲੇਟਫਾਰਮਾਂ ਅਤੇ ਰੱਖਿਆ-ਸਬੰਧਤ ਸੰਸਥਾਵਾਂ ਨੂੰ ਰਵਾਇਤੀ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਤੋਂ ਵੱਖਰਾ ਹੈ।

ਫਿਰ ਵੀ, ਉੱਤਰੀ ਕੋਰੀਆਈ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟ (APT) ਐਕਟਰਾਂ ਦੀ ਇਤਿਹਾਸਕ ਗਤੀਵਿਧੀ ਅੰਸ਼ਕ ਪੀੜਤ ਵਿਗਿਆਨ ਅਨੁਕੂਲਤਾ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਉਦਾਹਰਣ ਵਜੋਂ, ਉੱਤਰੀ ਕੋਰੀਆਈ ਆਪਰੇਟਰਾਂ ਨੇ ਸਿਹਤ ਸੰਭਾਲ ਸੰਗਠਨਾਂ ਦੇ ਵਿਰੁੱਧ ਮਾਉਈ ਰੈਨਸਮਵੇਅਰ ਤਾਇਨਾਤ ਕੀਤਾ ਹੈ, ਅਤੇ ਕਿਮਸੁਕੀ ਸਮੂਹ ਨੇ ਵਿਦਿਅਕ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ। ਇਹ ਉਦਾਹਰਣਾਂ UAT-10027 ਦੇ ਟਾਰਗੇਟਿੰਗ ਪ੍ਰੋਫਾਈਲ ਦੇ ਨਾਲ ਥੀਮੈਟਿਕ ਓਵਰਲੈਪ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀਆਂ ਹਨ, ਹਾਲਾਂਕਿ ਕੋਈ ਨਿਸ਼ਚਿਤ ਵਿਸ਼ੇਸ਼ਤਾ ਸਥਾਪਤ ਨਹੀਂ ਕੀਤੀ ਗਈ ਹੈ।

ਅਤਿ-ਆਧੁਨਿਕ ਚੋਰੀ ਤਕਨੀਕਾਂ, ਚੋਣਵੇਂ ਖੇਤਰ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ, ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਛੁਪਾਉਣ ਦੇ ਸੁਮੇਲ ਨੂੰ UAT-10027 ਨੂੰ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਅਤੇ ਵਿਕਸਤ ਹੋ ਰਹੇ ਖ਼ਤਰੇ ਵਜੋਂ ਦਰਸਾਇਆ ਗਿਆ ਹੈ ਜਿਸ ਲਈ ਮਹੱਤਵਪੂਰਨ ਸੇਵਾ ਖੇਤਰਾਂ ਵਿੱਚ ਵਧੇਰੇ ਚੌਕਸੀ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।