Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Dyer të pasme Dohdoor Backdoor

Dohdoor Backdoor

Nga MezoDyer të pasme, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Një grumbull aktivitetesh kërcënimesh të padokumentuara më parë është lidhur me një fushatë të vazhdueshme keqdashëse që synon sektorët e arsimit dhe kujdesit shëndetësor në të gjithë Shtetet e Bashkuara që të paktën nga dhjetori 2025. Studiuesit e sigurisë po e ndjekin këtë aktivitet nën përcaktimin UAT-10027. Objektivi kryesor i fushatës është të vendosë një derë të pasme të identifikuar rishtazi të njohur si Dohdoor.

Shumë institucione arsimore janë kompromentuar tashmë, përfshirë një universitet me lidhje me disa institucione të lidhura, duke sugjeruar një sipërfaqe sulmi potencialisht të zgjeruar. Një strukturë kujdesi shëndetësor e specializuar në kujdesin për të moshuarit është konfirmuar gjithashtu si viktimë, duke nënvizuar fokusin specifik të sektorit të operacionit.

Zinxhiri i Infeksionit dhe Vendosja e Malware-it

Edhe pse vektori i saktë fillestar i aksesit mbetet i papërcaktuar, hetuesit dyshojnë se fushata fillon me taktika phishing të bazuara në inxhinieri sociale që në fund të fundit shkaktojnë ekzekutimin e një skripti dashakeq PowerShell.

Sekuenca e infeksionit zhvillohet në disa faza:

  • Skripti PowerShell merr dhe ekzekuton një skedar batch të Windows nga një server i largët i përgatitjes së skedarëve.
  • Skedari batch më pas shkarkon një skedar DLL keqdashës, zakonisht të quajtur 'propsys.dll' ose 'batmeter.dll'.
  • DLL-ja, e identifikuar si Dohdoor, ekzekutohet përmes ngarkimit anësor të DLL-së duke përdorur skedarë binare legjitimë të Windows-it, siç janë 'Fondue.exe', 'mblctr.exe' ose 'ScreenClippingHost.exe'.
  • Pasi të jetë aktive, dera e pasme tërheq një ngarkesë dytësore direkt në memorie dhe e ekzekuton atë, e cila vlerësohet të jetë një Cobalt Strike Beacon.

Ky zinxhir ekzekutimi me shumë shtresa demonstron përpjekje të qëllimshme për të përzier komponentët keqdashës me proceset e besueshme të sistemit për të shmangur zbulimin.

Infrastruktura e fshehtë e komandës dhe kontrollit

Dohdoor shfrytëzon DNS-mbi-HTTPS (DoH) për të menaxhuar komunikimet Command-and-Control (C2). Duke enkriptuar pyetjet DNS brenda trafikut HTTPS, programi keqdashës fsheh komunikimet e tij brenda trafikut të internetit të enkriptuar në dukje legjitim.

Aktori kërcënues errëson më tej infrastrukturën duke i drejtuar serverat C2 përmes rrjetit të Cloudflare. Si rezultat, komunikimet dalëse nga sistemet e kompromentuara shfaqen si trafik standard HTTPS i drejtuar drejt një adrese IP globale të besuar.

Kjo qasje anashkalon në mënyrë efektive mekanizmat tradicionalë mbrojtës, duke përfshirë:

  • Sistemet e zbulimit të bazuara në DNS dhe vrimat e DNS-it
  • Mjete monitorimi të rrjetit që sinjalizojnë kërkime të dyshimta në domene
  • Zgjidhje konvencionale të analizës së trafikut që mbështeten në pyetjet e dukshme të DNS-së

Përveç teknikave të shmangies së rrjetit, Dohdoor shkëput në mënyrë aktive thirrjet e sistemit në NTDLL.dll për të anashkaluar zgjidhjet e zbulimit dhe përgjigjes së pikës fundore (EDR) që mbështeten në monitorimin e API-t në modalitetin e përdoruesit. Kjo aftësi zvogëlon ndjeshëm mundësinë e zbulimit të sjelljes në nivelin e pikës fundore.

Objektivat Operacionale dhe Motivimi Financiar

Aktualisht, nuk është identifikuar asnjë provë e konfirmuar e nxjerrjes së të dhënave. Përveç vendosjes së Cobalt Strike Beacon si një ngarkesë pasuese, nuk është vërejtur asnjë program keqdashës shtesë në fazën përfundimtare.

Pavarësisht mungesës së aktivitetit të ransomware-it ose vjedhjes së të dhënave deri më tani, analistët vlerësojnë se fushata ka të ngjarë të jetë e motivuar financiarisht. Ky përfundim bazohet në modelin e viktimologjisë dhe në vendosjen e mjeteve që zakonisht shoqërohen me kornizat pas shfrytëzimit të përdorura në ndërhyrjet e nxitura nga monetizimi.

Analiza e Atribuimit dhe Mbivendosjet e Koresë së Veriut

Identiteti i grupit që qëndron pas UAT-10027 mbetet i panjohur. Megjithatë, studiuesit kanë identifikuar ngjashmëri taktike midis Dohdoor dhe LazarLoader, një shkarkues që më parë i atribuohej grupit kërcënues të Koresë së Veriut, Lazarus.

Ndërkohë që ekzistojnë mbivendosje teknike me programet keqdashëse të lidhura me Lazarus, fokusi i fushatës në arsim dhe kujdes shëndetësor ndryshon nga shënjestrimi tradicional i Lazarus ndaj platformave të kriptomonedhave dhe entiteteve të lidhura me mbrojtjen.

Megjithatë, aktiviteti historik nga aktorët e kërcënimeve të avancuara të vazhdueshme (APT) të Koresë së Veriut zbulon një përputhje të pjesshme të viktimologjisë. Për shembull, operatorët e Koresë së Veriut kanë përdorur ransomware Maui kundër organizatave të kujdesit shëndetësor, dhe grupi Kimsuky ka synuar institucionet arsimore. Këto precedentë nxjerrin në pah mbivendosjet tematike me profilin e synimit të UAT-10027, megjithëse nuk është përcaktuar ndonjë atribuim përfundimtar.

Kombinimi i teknikave të sofistikuara të shmangies, shënjestrimit selektiv të sektorit dhe fshehjes së infrastrukturës e pozicionon UAT-10027 si një kërcënim të rëndësishëm dhe në zhvillim që kërkon vigjilencë të shtuar në të gjithë sektorët kritikë të shërbimeve.

Në trend

FedEx Express - Dërgesat tuaja u morën, mashtrim me...

Fishing, Malware, Spam
Të qëndrosh vigjilent kur merresh me email-e të papritura është thelbësore në peizazhin e kërcënimeve të sotme. Kriminelët kibernetikë imitojnë rregullisht markat e njohura për të shfrytëzuar besimin dhe kuriozitetin. Email-et e ashtuquajtura 'FedEx Express - Your Shippings Were Received' janë një shembull kryesor i kësaj taktike. Edhe pse duket se vijnë nga një shërbim i ligjshëm korrieri,...

Më e shikuara

Po ngarkohet...