Oferta rabatowa na wiele licencji
Baza danych zagrożeń Tylne drzwi Dohdoor Backdoor

Dohdoor Backdoor

Do Mezo w Tylne drzwi, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Nieudokumentowany wcześniej klaster zagrożeń został powiązany z trwającą od co najmniej grudnia 2025 roku złośliwą kampanią wymierzoną w sektor edukacji i opieki zdrowotnej w Stanach Zjednoczonych. Badacze bezpieczeństwa śledzą tę aktywność pod oznaczeniem UAT-10027. Głównym celem kampanii jest wdrożenie nowo zidentyfikowanego backdoora znanego jako Dohdoor.

Wiele instytucji edukacyjnych zostało już zaatakowanych, w tym uniwersytet połączony z kilkoma powiązanymi instytucjami, co sugeruje potencjalnie rozszerzony obszar ataku. Potwierdzono również, że ofiarą ataku padła placówka opieki zdrowotnej specjalizująca się w opiece nad osobami starszymi, co podkreśla specyfikę sektora, w którym ta operacja jest prowadzona.

Łańcuch infekcji i wdrażanie złośliwego oprogramowania

Chociaż dokładny początkowy wektor dostępu pozostaje nieznany, śledczy podejrzewają, że kampania zaczyna się od taktyki phishingu opartej na inżynierii społecznej, która ostatecznie powoduje wykonanie złośliwego skryptu programu PowerShell.

Sekwencja infekcji przebiega w kilku etapach:

  • Skrypt programu PowerShell pobiera i uruchamia plik wsadowy systemu Windows ze zdalnego serwera tymczasowego.
  • Plik wsadowy pobiera następnie złośliwy plik DLL, zwykle nazywany „propsys.dll” lub „batmeter.dll”.
  • Biblioteka DLL, zidentyfikowana jako Dohdoor, jest uruchamiana poprzez boczne ładowanie bibliotek DLL przy użyciu legalnych plików binarnych systemu Windows, takich jak „Fondue.exe”, „mblctr.exe” lub „ScreenClippingHost.exe”.
  • Po aktywacji tylne drzwi pobierają dodatkowy ładunek bezpośrednio do pamięci i go uruchamiają. Okazuje się, że jest to Cobalt Strike Beacon.

Ten wielowarstwowy łańcuch wykonawczy stanowi przykład celowych działań mających na celu połączenie złośliwych komponentów z zaufanymi procesami systemowymi w celu uniknięcia wykrycia.

Tajna infrastruktura dowodzenia i kontroli

Dohdoor wykorzystuje protokół DNS-over-HTTPS (DoH) do zarządzania komunikacją typu Command-and-Control (C2). Szyfrując zapytania DNS w ruchu HTTPS, złośliwe oprogramowanie ukrywa swoją komunikację w pozornie legalnym, zaszyfrowanym ruchu internetowym.

Atakujący dodatkowo zaciemnia infrastrukturę, kierując serwery C2 przez sieć Cloudflare. W rezultacie komunikacja wychodząca z zainfekowanych systemów wygląda jak standardowy ruch HTTPS skierowany na zaufany globalny adres IP.

Podejście to skutecznie omija tradycyjne mechanizmy obronne, w tym:

  • Systemy wykrywania oparte na DNS i luki DNS
  • Narzędzia do monitorowania sieci, które sygnalizują podejrzane wyszukiwania domen
  • Konwencjonalne rozwiązania do analizy ruchu oparte na widocznych zapytaniach DNS

    • Oprócz technik omijania zabezpieczeń sieci, Dohdoor aktywnie odłącza wywołania systemowe w pliku NTDLL.dll, aby ominąć rozwiązania wykrywania i reagowania na zagrożenia w punktach końcowych (EDR), które opierają się na monitorowaniu API w trybie użytkownika. Ta funkcja znacznie zmniejsza prawdopodobieństwo wykrycia zachowań na poziomie punktów końcowych.

    Cele operacyjne i motywacja finansowa

    Obecnie nie zidentyfikowano żadnych potwierdzonych dowodów na wyciek danych. Poza wdrożeniem Cobalt Strike Beacon jako dodatkowego ładunku, nie zaobserwowano żadnego dodatkowego złośliwego oprogramowania w fazie końcowej.

    Pomimo braku ataków ransomware i kradzieży danych, analitycy oceniają, że kampania ma prawdopodobnie podłoże finansowe. Wniosek ten opiera się na schemacie ofiar i wykorzystaniu narzędzi powszechnie kojarzonych z frameworkami post-exploitation stosowanymi w włamaniach nastawionych na monetyzację.

    Analiza atrybucji i nakładanie się działań Korei Północnej

    Tożsamość grupy stojącej za UAT-10027 pozostaje nieznana. Badacze zidentyfikowali jednak taktyczne podobieństwa między Dohdoorem a LazarLoaderem, programem pobierającym dane, wcześniej przypisywanym północnokoreańskiej grupie cyberprzestępczej Lazarus.

    Mimo że istnieją techniczne powiązania z malware powiązanym z grupą Lazarus, nacisk kampanii na edukację i opiekę zdrowotną różni się od tradycyjnego ukierunkowania kampanii Lazarus na platformy kryptowalutowe i podmioty związane z obronnością.

    Niemniej jednak, historyczna aktywność północnokoreańskich cyberprzestępców z grupy APT (Advanced Persistent Threat) ujawnia częściową zgodność wiktymologiczną. Na przykład, północnokoreańscy operatorzy wdrożyli ransomware Maui przeciwko organizacjom opieki zdrowotnej, a grupa Kimsuky zaatakowała instytucje edukacyjne. Precedensy te wskazują na zbieżność tematyczną z profilem ataków UAT-10027, choć nie ustalono jednoznacznej atrybucji.

    Połączenie wyrafinowanych technik unikania, selektywnego namierzania sektorów i ukrywania infrastruktury sprawia, że UAT-10027 stanowi poważne i rozwijające się zagrożenie, wymagające wzmożonej czujności we wszystkich sektorach usług krytycznych.

    Popularne

    FedEx Express – oszustwo e-mailowe z informacją o...

    Phishing, Złośliwe oprogramowanie, Spam
    Zachowanie czujności w przypadku nieoczekiwanych wiadomości e-mail jest kluczowe w dzisiejszym krajobrazie zagrożeń. Cyberprzestępcy rutynowo podszywają się pod znane marki, aby wykorzystać zaufanie i ciekawość. Tak zwane wiadomości e-mail „FedEx Express – Twoje przesyłki zostały odebrane” są doskonałym przykładem tej taktyki. Chociaż wydają się pochodzić od legalnej firmy kurierskiej,...

    Najczęściej oglądane

    Ładowanie...