Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Backdoors Dohdoor Backdoor

Dohdoor Backdoor

Por Mezo em Backdoors, Ameaça Persistente Avançada (APT)
Traduzir Para:

Um conjunto de atividades de ameaças previamente não documentadas foi associado a uma campanha maliciosa em andamento que visa os setores de educação e saúde nos Estados Unidos desde pelo menos dezembro de 2025. Pesquisadores de segurança estão monitorando essa atividade sob a designação UAT-10027. O principal objetivo da campanha é implantar uma porta dos fundos recém-identificada conhecida como Dohdoor.

Diversas instituições de ensino já foram comprometidas, incluindo uma universidade com conexões a várias instituições afiliadas, o que sugere uma superfície de ataque potencialmente ampliada. Uma unidade de saúde especializada em cuidados para idosos também foi confirmada como vítima, o que reforça o foco específico da operação nesse setor.

Cadeia de Infecção e Implantação de Malware

Embora o vetor de acesso inicial preciso permaneça indeterminado, os investigadores suspeitam que a campanha comece com táticas de phishing baseadas em engenharia social que, em última instância, desencadeiam a execução de um script malicioso em PowerShell.

A sequência da infecção se desenrola em múltiplos estágios:

  • O script do PowerShell recupera e executa um arquivo em lote do Windows a partir de um servidor de preparação remoto.
  • O arquivo em lote então baixa um arquivo DLL malicioso, normalmente chamado 'propsys.dll' ou 'batmeter.dll'.
  • A DLL, identificada como Dohdoor, é executada por meio de carregamento lateral de DLL usando binários legítimos do Windows, como 'Fondue.exe', 'mblctr.exe' ou 'ScreenClippingHost.exe'.
  • Uma vez ativado, o backdoor carrega um segundo payload diretamente na memória e o executa, identificado como um Cobalt Strike Beacon.

Essa cadeia de execução em múltiplas camadas demonstra esforços deliberados para misturar componentes maliciosos com processos de sistema confiáveis, a fim de evitar a detecção.

Infraestrutura de Comando e Controle Secreta

O Dohdoor utiliza DNS sobre HTTPS (DoH) para gerenciar comunicações de Comando e Controle (C2). Ao criptografar as consultas DNS dentro do tráfego HTTPS, o malware oculta suas comunicações em meio a um tráfego web criptografado aparentemente legítimo.

O agente malicioso oculta ainda mais a infraestrutura roteando servidores de comando e controle (C2) através da rede da Cloudflare. Como resultado, as comunicações de saída dos sistemas comprometidos aparecem como tráfego HTTPS padrão direcionado para um endereço IP global confiável.

Essa abordagem contorna eficazmente os mecanismos de defesa tradicionais, incluindo:

  • Sistemas de detecção baseados em DNS e sinkholes de DNS
  • Ferramentas de monitoramento de rede que sinalizam pesquisas de domínio suspeitas
  • As soluções convencionais de análise de tráfego dependem de consultas DNS visíveis.

Além das técnicas de evasão de rede, o Dohdoor desativa ativamente as chamadas de sistema em NTDLL.dll para contornar soluções de detecção e resposta de endpoint (EDR) que dependem do monitoramento de API em modo de usuário. Essa capacidade reduz significativamente a probabilidade de detecção comportamental no nível do endpoint.

Objetivos operacionais e motivação financeira

Até o momento, não foram identificadas evidências confirmadas de exfiltração de dados. Além da implantação do Cobalt Strike Beacon como carga útil subsequente, nenhum outro malware de estágio final foi observado.

Apesar da ausência de atividades de ransomware ou roubo de dados até o momento, analistas avaliam que a campanha provavelmente tem motivação financeira. Essa conclusão se baseia no padrão de vitimização e na utilização de ferramentas comumente associadas a frameworks de pós-exploração empregados em intrusões com fins lucrativos.

Análise de Atribuição e Sobreposições Norte-Coreanas

A identidade do grupo por trás do UAT-10027 permanece desconhecida. No entanto, pesquisadores identificaram semelhanças táticas entre o Dohdoor e o LazarLoader, um programa de download anteriormente atribuído ao grupo de ameaças norte-coreano Lazarus.

Embora existam sobreposições técnicas com o malware ligado ao Lazarus, o foco da campanha na educação e na saúde diverge do direcionamento tradicional do Lazarus a plataformas de criptomoedas e entidades relacionadas à defesa.

Contudo, o histórico de atividades de grupos de ameaças persistentes avançadas (APTs) norte-coreanos revela uma convergência parcial no perfil das vítimas. Por exemplo, operadores norte-coreanos implantaram o ransomware Maui contra organizações de saúde, e o grupo Kimsuky teve como alvo instituições de ensino. Esses precedentes destacam sobreposições temáticas com o perfil de alvos do UAT-10027, embora nenhuma atribuição definitiva tenha sido estabelecida.

A combinação de técnicas sofisticadas de evasão, direcionamento seletivo a setores específicos e ocultação de infraestrutura posiciona o UAT-10027 como uma ameaça significativa e em constante evolução, exigindo maior vigilância em setores de serviços críticos.

Tendendo

Mais visto

Carregando...