Multilicenčná zľavová ponuka
Databáza hrozieb Zadné vrátka Zadné vrátka Dohdoor

Zadné vrátka Dohdoor

Do roku Mezo v roku Zadné vrátka, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Doteraz nezdokumentovaný klaster hrozieb bol spojený s prebiehajúcou škodlivou kampaňou zameranou na sektory vzdelávania a zdravotníctva v Spojených štátoch prinajmenšom od decembra 2025. Bezpečnostní výskumníci sledujú túto aktivitu pod označením UAT-10027. Hlavným cieľom kampane je nasadiť novo identifikovaný zadný vrátnik známy ako Dohdoor.

Viaceré vzdelávacie inštitúcie už boli napadnuté, vrátane univerzity s prepojením na niekoľko pridružených inštitúcií, čo naznačuje potenciálne rozšírený povrch útoku. Ako obeť bolo potvrdené aj zdravotnícke zariadenie špecializujúce sa na starostlivosť o seniorov, čo zdôrazňuje zameranie operácie na daný sektor.

Reťazec infekcie a nasadenie škodlivého softvéru

Hoci presný počiatočný prístupový vektor zostáva neurčený, vyšetrovatelia majú podozrenie, že kampaň začína phishingovými taktikami založenými na sociálnom inžinierstve, ktoré nakoniec spúšťajú spustenie škodlivého PowerShellového skriptu.

Priebeh infekcie prebieha v niekoľkých fázach:

  • Skript PowerShell načíta a spustí dávkový súbor systému Windows zo vzdialeného pracovného servera.
  • Dávkový súbor potom stiahne škodlivý súbor DLL, zvyčajne s názvom „propsys.dll“ alebo „batmeter.dll“.
  • Súbor DLL s označením Dohdoor sa spúšťa bočným načítaním súborov DLL pomocou legitímnych binárnych súborov systému Windows, ako napríklad „Fondue.exe“, „mblctr.exe“ alebo „ScreenClippingHost.exe“.
  • Po aktivácii zadné vrátka stiahnu sekundárnu dátovú záťaž priamo do pamäte a spustia ju, pričom ju vyhodnotia ako signál Cobalt Strike Beacon.

Tento viacvrstvový reťazec vykonávania demonštruje zámerné úsilie o zmiešanie škodlivých komponentov s dôveryhodnými systémovými procesmi, aby sa predišlo odhaleniu.

Tajná infraštruktúra velenia a riadenia

Dohdoor využíva DNS-over-HTTPS (DoH) na správu komunikácie Command-and-Control (C2). Šifrovaním DNS dotazov v rámci HTTPS prevádzky malvér skrýva svoju komunikáciu v zdanlivo legitímnej šifrovanej webovej prevádzke.

Útočník ďalej zakrýva infraštruktúru smerovaním serverov C2 cez sieť Cloudflare. V dôsledku toho sa odchádzajúca komunikácia z napadnutých systémov javí ako štandardná HTTPS prevádzka smerovaná na dôveryhodnú globálnu IP adresu.

Tento prístup účinne obchádza tradičné obranné mechanizmy vrátane:

  • Detekčné systémy založené na DNS a DNS sinkhole
  • Nástroje na monitorovanie siete, ktoré označujú podozrivé vyhľadávania domén
  • Konvenčné riešenia analýzy prevádzky závislé od viditeľných DNS dotazov

Okrem techník obchádzania siete Dohdoor aktívne odpojuje systémové volania v súbore NTDLL.dll, aby obišiel riešenia detekcie a odpovede na koncové body (EDR), ktoré sa spoliehajú na monitorovanie používateľského API. Táto funkcia výrazne znižuje pravdepodobnosť detekcie správania na úrovni koncových bodov.

Operačné ciele a finančná motivácia

V súčasnosti neboli identifikované žiadne potvrdené dôkazy o úniku údajov. Okrem nasadenia Cobalt Strike Beacon ako následného užitočného zaťaženia nebol pozorovaný žiadny ďalší malvér v konečnej fáze.

Napriek tomu, že doteraz nedošlo k ransomvéru ani k krádeži údajov, analytici odhadujú, že kampaň je pravdepodobne finančne motivovaná. Tento záver je založený na vzorci viktimológie a nasadení nástrojov bežne spojených s rámcami po zneužití používanými pri útokoch zameraných na monetizáciu.

Analýza pripisovania a prekrývania v Severnej Kórei

Identita skupiny stojacej za UAT-10027 zostáva neznáma. Výskumníci však identifikovali taktické podobnosti medzi Dohdoorom a LazarLoaderom, sťahovacím programom, ktorý bol predtým pripisovaný severokórejskej skupine Lazarus.

Hoci existujú technické prekrývania so škodlivým softvérom prepojeným s Lazarusom, zameranie kampane na vzdelávanie a zdravotníctvo sa odchyľuje od tradičného zacielenia kampane Lazarus na kryptomenové platformy a subjekty súvisiace s obranou.

Historická aktivita severokórejských aktérov pokročilých pretrvávajúcich hrozieb (APT) však odhaľuje čiastočnú viktimologickú zhodu. Napríklad severokórejskí operátori nasadili ransomvér Maui proti zdravotníckym organizáciám a skupina Kimsuky sa zamerala na vzdelávacie inštitúcie. Tieto precedensy zdôrazňujú tematické prekrývanie s profilom cielenia UAT-10027, hoci definitívne priradenie nebolo stanovené.

Kombinácia sofistikovaných techník úniku, selektívneho zacielenia na sektory a utajenia infraštruktúry stavia UAT-10027 medzi významnú a vyvíjajúcu sa hrozbu vyžadujúcu zvýšenú ostražitosť v kritických sektoroch služieb.

Trendy

FedEx Express – Vaše zásielky boli prijaté e-mailom...

Phishing, Malvér, Spam
V dnešnom svete hrozieb je ostražitá ostražitosť pri riešení neočakávaných e-mailov kľúčová. Kyberzločinci sa bežne vydávajú za známe značky, aby zneužili dôveru a zvedavosť. Takzvané e-maily s textom „FedEx Express – Vaše zásielky boli doručené“ sú ukážkovým príkladom tejto taktiky. Hoci sa zdá, že pochádzajú od legitímnej kuriérskej služby, tieto správy nie sú spojené so žiadnou skutočnou...

Najviac videné

Načítava...