Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ușile din spate Ușă din spate Dohdoor

Ușă din spate Dohdoor

Până în Mezo în Ușile din spate, Amenințare persistentă avansată (APT)
Tradu in:

Un grup de activități de amenințare nedocumentate anterior a fost asociat cu o campanie malițioasă în desfășurare care vizează sectoarele educației și sănătății din Statele Unite, încă din decembrie 2025. Cercetătorii în domeniul securității urmăresc această activitate sub denumirea UAT-10027. Obiectivul principal al campaniei este de a implementa un backdoor nou identificat, cunoscut sub numele de Dohdoor.

Mai multe instituții de învățământ au fost deja compromise, inclusiv o universitate cu conectivitate la mai multe instituții afiliate, ceea ce sugerează o suprafață de atac potențial extinsă. O unitate medicală specializată în îngrijirea persoanelor în vârstă a fost, de asemenea, confirmată ca victimă, subliniind concentrarea specifică asupra sectorului operațiunii.

Lanțul de infecții și implementarea programelor malware

Deși vectorul inițial de acces precis rămâne nedeterminat, anchetatorii suspectează că această campanie începe cu tactici de phishing bazate pe inginerie socială, care declanșează în cele din urmă executarea unui script PowerShell malițios.

Secvența infecției se desfășoară în mai multe etape:

  • Scriptul PowerShell preia și execută un fișier batch Windows de pe un server de testare la distanță.
  • Fișierul batch descarcă apoi un fișier DLL malițios, denumit de obicei „propsys.dll” sau „batmeter.dll”.
  • DLL-ul, identificat ca Dohdoor, este executat prin încărcare laterală a DLL-urilor folosind binare Windows legitime, cum ar fi „Fondue.exe”, „mblctr.exe” sau „ScreenClippingHost.exe”.
  • Odată activă, backdoor-ul extrage o sarcină utilă secundară direct în memorie și o execută, evaluată a fi un Cobalt Strike Beacon.

Acest lanț de execuție cu mai multe straturi demonstrează eforturi deliberate de a combina componente rău intenționate cu procese de sistem de încredere pentru a evita detectarea.

Infrastructură de comandă și control sub acoperire

Dohdoor utilizează DNS-over-HTTPS (DoH) pentru a gestiona comunicațiile de tip Command-and-Control (C2). Prin criptarea interogărilor DNS în traficul HTTPS, malware-ul își ascunde comunicațiile în traficul web criptat aparent legitim.

Actorul amenințător ascunde și mai mult infrastructura prin rutarea serverelor C2 prin rețeaua Cloudflare. Drept urmare, comunicațiile de ieșire din sistemele compromise apar ca trafic HTTPS standard direcționat către o adresă IP globală de încredere.

Această abordare ocolește eficient mecanismele defensive tradiționale, inclusiv:

  • Sisteme de detectare bazate pe DNS și sinkholes DNS
  • Instrumente de monitorizare a rețelei care semnalează căutările suspecte de domeniu
  • Soluții convenționale de analiză a traficului care se bazează pe interogări DNS vizibile

Pe lângă tehnicile de evitare a rețelei, Dohdoor deconectează activ apelurile de sistem din NTDLL.dll pentru a ocoli soluțiile de detectare și răspuns la punctele de terminare (EDR) care se bazează pe monitorizarea API în modul utilizator. Această capacitate reduce semnificativ probabilitatea detectării comportamentale la nivel de punct de terminare.

Obiective operaționale și motivație financiară

În prezent, nu au fost identificate dovezi confirmate de exfiltrare a datelor. În afară de implementarea Cobalt Strike Beacon ca sarcină utilă ulterioară, nu a fost observat niciun alt malware în stadiu final.

În ciuda absenței activităților de tip ransomware sau furt de date până în prezent, analiștii evaluează că este probabil ca această campanie să fie motivată financiar. Această concluzie se bazează pe modelul de victimizare și pe implementarea instrumentelor asociate în mod obișnuit cu framework-urile post-exploatare utilizate în intruziunile bazate pe monetizare.

Analiza atribuirii și suprapunerile nord-coreene

Identitatea grupului din spatele UAT-10027 rămâne necunoscută. Cu toate acestea, cercetătorii au identificat asemănări tactice între Dohdoor și LazarLoader, un program de descărcare atribuit anterior grupului nord-coreean de amenințări Lazarus.

Deși există suprapuneri tehnice cu programele malware legate de Lazarus, concentrarea campaniei asupra educației și asistenței medicale diferă de direcționarea tradițională a Lazarus către platformele de criptomonede și entitățile legate de apărare.

Cu toate acestea, activitatea istorică a actorilor nord-coreeni implicați în atacuri persistente avansate (APT) relevă o aliniere parțială a victimizării. De exemplu, operatorii nord-coreeni au implementat ransomware-ul Maui împotriva organizațiilor din domeniul sănătății, iar grupul Kimsuky a vizat instituțiile de învățământ. Aceste precedente evidențiază suprapuneri tematice cu profilul de direcționare al UAT-10027, deși nu a fost stabilită nicio atribuire definitivă.

Combinația dintre tehnicile sofisticate de evaziune, direcționarea selectivă a unor sectoare și disimularea infrastructurii poziționează UAT-10027 ca o amenințare semnificativă și în continuă evoluție, care necesită o vigilență sporită în toate sectoarele de servicii critice.

Trending

FedEx Express - Înșelătorie prin e-mail cu privire...

phishing, Programe malware, Spam
Vigilența în gestionarea e-mailurilor neașteptate este crucială în peisajul amenințărilor actuale. Infractorii cibernetici se dau în mod obișnuit drept mărci cunoscute pentru a exploata încrederea și curiozitatea. Așa-numitele e-mailuri „FedEx Express - Expedierile dvs. au fost primite” sunt un exemplu excelent al acestei tactici. Deși par să provină de la un serviciu de curierat legitim,...

Cele mai văzute

Se încarcă...