Popust za več licenc
Podjetje o grožnjah Zadnja vrata Dohdoor zadnja vrata

Dohdoor zadnja vrata

Do leta Mezo leta Zadnja vrata, Napredna trajna grožnja (APT)
Prevedi v:

Prej nedokumentirana skupina groženj je bila povezana z zlonamerno kampanjo, ki je bila usmerjena v izobraževalni in zdravstveni sektor po Združenih državah Amerike vsaj od decembra 2025. Varnostni raziskovalci spremljajo to aktivnost pod oznako UAT-10027. Glavni cilj kampanje je namestitev na novo odkritega zadnja vrata, znanega kot Dohdoor.

Ogroženih je bilo že več izobraževalnih ustanov, vključno z univerzo, ki je povezana z več pridruženimi ustanovami, kar kaže na potencialno razširjeno območje napada. Kot žrtev je bila potrjena tudi zdravstvena ustanova, specializirana za oskrbo starejših, kar poudarja osredotočenost operacije na specifičen sektor.

Veriga okužb in uvajanje zlonamerne programske opreme

Čeprav natančen začetni vektor dostopa ostaja nedoločen, preiskovalci sumijo, da se kampanja začne s taktikami lažnega predstavljanja, ki temeljijo na socialnem inženiringu in na koncu sprožijo izvajanje zlonamernega skripta PowerShell.

Postopek okužbe se odvija v več fazah:

  • Skript PowerShell pridobi in izvede paketno datoteko sistema Windows z oddaljenega strežnika za pripravo.
  • Paketna datoteka nato prenese zlonamerno datoteko DLL, ki se običajno imenuje »propsys.dll« ali »batmeter.dll«.
  • Datoteka DLL, identificirana kot Dohdoor, se izvaja s stranskim nalaganjem DLL z uporabo legitimnih binarnih datotek sistema Windows, kot so »Fondue.exe«, »mblctr.exe« ali »ScreenClippingHost.exe«.
  • Ko je zadnja vrata aktivna, potegnejo sekundarni koristni naklad neposredno v pomnilnik in ga izvedejo, pri čemer se ocenijo kot svetilnik Cobalt Strike.

Ta večplastna izvedbena veriga prikazuje namerna prizadevanja za mešanje zlonamernih komponent z zaupanja vrednimi sistemskimi procesi, da bi se izognili odkrivanju.

Prikrita infrastruktura poveljevanja in nadzora

Dohdoor za upravljanje komunikacije Command-and-Control (C2) uporablja DNS-over-HTTPS (DoH). Z šifriranjem poizvedb DNS znotraj prometa HTTPS zlonamerna programska oprema prikrije svojo komunikacijo znotraj na videz legitimnega šifriranega spletnega prometa.

Grožnji dodatno zakrije infrastrukturo z usmerjanjem strežnikov C2 prek omrežja Cloudflare. Posledično se odhodna komunikacija iz ogroženih sistemov prikaže kot standardni promet HTTPS, usmerjen proti zaupanja vrednemu globalnemu naslovu IP.

Ta pristop učinkovito zaobide tradicionalne obrambne mehanizme, vključno z:

  • Sistemi za zaznavanje na osnovi DNS in DNS vrzeli
  • Orodja za spremljanje omrežja, ki označujejo sumljiva iskanja domen
  • Konvencionalne rešitve za analizo prometa, ki se zanašajo na vidne poizvedbe DNS

Poleg tehnik izogibanja omrežju Dohdoor aktivno odklepa sistemske klice v NTDLL.dll, da bi zaobšel rešitve za zaznavanje in odzivanje na končnih točkah (EDR), ki se zanašajo na spremljanje API-ja v uporabniškem načinu. Ta zmožnost znatno zmanjša verjetnost zaznavanja vedenja na ravni končnih točk.

Operativni cilji in finančna motivacija

Trenutno ni bilo potrjenih dokazov o kraji podatkov. Razen namestitve Cobalt Strike Beacona kot nadaljnjega koristnega tovora ni bilo opažene nobene dodatne zlonamerne programske opreme v zadnji fazi.

Kljub temu, da doslej ni bilo izsiljevalske programske opreme ali kraje podatkov, analitiki ocenjujejo, da je kampanja verjetno finančno motivirana. Ta sklep temelji na vzorcu viktimologije in uporabi orodij, ki so običajno povezana z ogrodji po izkoriščanju, ki se uporabljajo pri vdorih, usmerjenih v monetizacijo.

Analiza pripisovanja in prekrivanja v Severni Koreji

Identiteta skupine, ki stoji za UAT-10027, ostaja neznana. Vendar pa so raziskovalci odkrili taktične podobnosti med Dohdoorjem in LazarLoaderjem, programom za prenos podatkov, ki so ga prej pripisovali severnokorejski skupini za grožnje Lazarus.

Čeprav obstajajo tehnična prekrivanja z zlonamerno programsko opremo, povezano z Lazarusom, se osredotočenost kampanje na izobraževanje in zdravstvo razlikuje od tradicionalnega ciljanja Lazarusa na platforme kriptovalut in obrambne subjekte.

Kljub temu zgodovinske dejavnosti severnokorejskih akterjev naprednih vztrajnih groženj (APT) razkrivajo delno usklajenost z viktimologijo. Severnokorejski operaterji so na primer proti zdravstvenim organizacijam uporabili izsiljevalsko programsko opremo Maui, skupina Kimsuky pa je ciljala na izobraževalne ustanove. Ti precedensi poudarjajo tematska prekrivanja s profilom ciljanja UAT-10027, čeprav dokončna atribucija še ni bila ugotovljena.

Kombinacija sofisticiranih tehnik izogibanja, selektivnega ciljanja sektorjev in prikrivanja infrastrukture uvršča UAT-10027 med pomembne in razvijajoče se grožnje, ki zahtevajo večjo budnost v kritičnih storitvenih sektorjih.

V trendu

FedEx Express - Vaše pošiljke so bile prejete -...

Lažno predstavljanje, Zlonamerna programska oprema, Neželena pošta
V današnjem okolju groženj je ključnega pomena ostati pozoren pri soočanju z nepričakovanimi e-poštnimi sporočili. Kibernetski kriminalci se redno izdajajo za znane blagovne znamke, da bi izkoristili zaupanje in radovednost. Tako imenovana e-poštna sporočila »FedEx Express – Vaše pošiljke so bile prejete« so odličen primer te taktike. Čeprav se zdi, da prihajajo od legitimne kurirske službe, ta...

Najbolj gledan

Nalaganje...