Задняя дверь Дохдор
Ранее не задокументированный кластер угроз был связан с продолжающейся вредоносной кампанией, направленной на секторы образования и здравоохранения по всей территории Соединенных Штатов, которая длится как минимум с декабря 2025 года. Исследователи в области безопасности отслеживают эту активность под обозначением UAT-10027. Основная цель кампании — развертывание недавно обнаруженного бэкдора, известного как Dohdoor.
Уже скомпрометированы несколько образовательных учреждений, включая университет, имеющий связи с несколькими аффилированными учреждениями, что указывает на потенциально расширенную поверхность атаки. Подтверждено, что жертвой стало также медицинское учреждение, специализирующееся на уходе за пожилыми людьми, что подчеркивает специфическую направленность операции на этот сектор.
Оглавление
Цепочка заражения и развертывание вредоносного ПО
Хотя точный первоначальный вектор доступа остается неустановленным, следователи подозревают, что кампания начинается с фишинговых атак с использованием методов социальной инженерии, которые в конечном итоге запускают выполнение вредоносного скрипта PowerShell.
Процесс заражения протекает в несколько этапов:
- Скрипт PowerShell получает и выполняет пакетный файл Windows с удаленного тестового сервера.
- Затем пакетный файл загружает вредоносный DLL-файл, обычно называемый «propsys.dll» или «batmeter.dll».
- DLL-файл, идентифицированный как Dohdoor, запускается путем установки DLL-файлов из легитимных исполняемых файлов Windows, таких как 'Fondue.exe', 'mblctr.exe' или 'ScreenClippingHost.exe'.
- После активации бэкдор напрямую загружает в память дополнительную полезную нагрузку и выполняет её, идентифицируя её как маяк Cobalt Strike Beacon.
Эта многоуровневая цепочка выполнения демонстрирует преднамеренные попытки интегрировать вредоносные компоненты в доверенные системные процессы, чтобы избежать обнаружения.
Скрытая инфраструктура управления и контроля
Dohdoor использует протокол DNS-over-HTTPS (DoH) для управления коммуникациями командного пункта (C2). Шифруя DNS-запросы в HTTPS-трафике, вредоносная программа скрывает свои коммуникации в кажущемся легитимным зашифрованном веб-трафике.
Злоумышленник дополнительно маскирует инфраструктуру, направляя C2-серверы через сеть Cloudflare. В результате исходящие сообщения с скомпрометированных систем отображаются как стандартный HTTPS-трафик, направленный на доверенный глобальный IP-адрес.
Этот подход эффективно обходит традиционные защитные механизмы, в том числе:
- Системы обнаружения на основе DNS и DNS-ловушки
- Инструменты сетевого мониторинга, которые выявляют подозрительные запросы к доменам.
- Традиционные решения для анализа трафика основаны на видимых DNS-запросах.
В дополнение к методам обхода сетевой защиты, Dohdoor активно отключает системные вызовы в NTDLL.dll, чтобы обойти решения для обнаружения и реагирования на угрозы на конечных устройствах (EDR), которые полагаются на мониторинг API в пользовательском режиме. Эта возможность значительно снижает вероятность обнаружения поведенческих угроз на уровне конечных устройств.
Оперативные цели и финансовое обоснование
В настоящее время подтвержденных доказательств утечки данных не обнаружено. Помимо развертывания Cobalt Strike Beacon в качестве дополнительной полезной нагрузки, никаких других вредоносных программ на заключительном этапе не наблюдалось.
Несмотря на отсутствие на данный момент случаев использования программ-вымогателей или кражи данных, аналитики считают, что кампания, вероятно, мотивирована финансовыми соображениями. Этот вывод основан на характере атак и использовании инструментов, обычно применяемых в постэксплуатационных средах, используемых при вторжениях с целью монетизации.
Анализ атрибуции и северокорейские совпадения
Личность группы, стоящей за UAT-10027, остается неизвестной. Однако исследователи выявили тактическое сходство между Dohdoor и LazarLoader, программой для скачивания, ранее приписываемой северокорейской хакерской группировке Lazarus.
Хотя технические сходства с вредоносным ПО, связанным с Lazarus, существуют, направленность этой кампании на образование и здравоохранение отличается от традиционных целей Lazarus — атак на криптовалютные платформы и организации, связанные с обороной.
Тем не менее, историческая активность северокорейских группировок, занимающихся сложными целевыми атаками (APT), выявляет частичное совпадение в таргетинге. Например, северокорейские операторы использовали программу-вымогатель Maui против медицинских организаций, а группа Kimsuky атаковала образовательные учреждения. Эти прецеденты подчеркивают тематическое совпадение с профилем целей UAT-10027, хотя окончательное установление авторства еще не произведено.
Сочетание сложных методов уклонения, избирательного поражения отдельных секторов и маскировки инфраструктуры делает UAT-10027 серьезной и постоянно развивающейся угрозой, требующей повышенной бдительности в критически важных секторах услуг.
