Попуст за више лиценци
Тхреат Датабасе Бацкдоорс Дохдоор задња врата

Дохдоор задња врата

До Mezo. у Бацкдоорс, Напредна трајна претња (АПТ)
Преведи на:

Раније недокументовани кластер претњи повезан је са текућом злонамерном кампањом усмереном на секторе образовања и здравства широм Сједињених Држава најмање од децембра 2025. године. Истраживачи безбедности прате ову активност под ознаком UAT-10027. Примарни циљ кампање је постављање новоидентификованог задњег врата познатог као Dohdoor.

Више образовних институција је већ угрожено, укључујући универзитет са повезивањем са неколико придружених институција, што указује на потенцијално проширену површину напада. Здравствена установа специјализована за негу старијих особа такође је потврђена као жртва, што наглашава секторски фокус операције.

Ланац инфекције и примена злонамерног софтвера

Иако прецизан почетни вектор приступа остаје неодређен, истражитељи сумњају да кампања почиње тактикама фишинга заснованим на социјалном инжењерингу које на крају покрећу извршавање злонамерног PowerShell скрипта.

Ток инфекције се одвија у неколико фаза:

  • PowerShell скрипта преузима и извршава Windows batch датотеку са удаљеног сервера за припрему.
  • Пакетна датотека затим преузима злонамерну DLL датотеку, обично под називом „propsys.dll“ или „batmeter.dll“.
  • DLL, идентификован као Dohdoor, извршава се путем бочног учитавања DLL-а коришћењем легитимних Windows бинарних датотека као што су „Fondue.exe“, „mblctr.exe“ или „ScreenClippingHost.exe“.
  • Једном активан, задња врата директно у меморију увлаче секундарни корисни терет и извршавају га, процењујући да је то Cobalt Strike Beacon.

Овај вишеслојни ланац извршења показује намерне напоре да се злонамерне компоненте споје са поузданим системским процесима како би се избегло откривање.

Тајна инфраструктура командовања и контроле

Дохдор користи DNS-over-HTTPS (DoH) за управљање комуникацијом типа „Command-and-Control“ (C2). Шифровањем DNS упита унутар HTTPS саобраћаја, злонамерни софтвер прикрива своју комуникацију унутар наизглед легитимног шифрованог веб саобраћаја.

Претећи актер додатно замагљује инфраструктуру усмеравањем C2 сервера кроз Cloudflare-ову мрежу. Као резултат тога, одлазне комуникације са угрожених система се појављују као стандардни HTTPS саобраћај усмерен ка поузданој глобалној IP адреси.

Овај приступ ефикасно заобилази традиционалне одбрамбене механизме, укључујући:

  • Системи за детекцију засновани на DNS-у и DNS провали
  • Алати за праћење мреже који означавају сумњиве претраге домена
  • Конвенционална решења за анализу саобраћаја која се ослањају на видљиве ДНС упите

Поред техника избегавања мреже, Dohdoor активно откључава системске позиве у NTDLL.dll да би заобишао решења за детекцију и одговор на крајње тачке (EDR) која се ослањају на праћење API-ја у корисничком режиму. Ова могућност значајно смањује вероватноћу детекције понашања на нивоу крајње тачке.

Оперативни циљеви и финансијска мотивација

Тренутно нису идентификовани потврђени докази о крађи података. Осим примене Cobalt Strike Beacon-а као накнадног корисног оптерећења, није примећен додатни малвер у завршној фази.

Упркос досадашњем одсуству активности везаних за ransomware или крађу података, аналитичари процењују да је кампања вероватно финансијски мотивисана. Овај закључак се заснива на обрасцу виктимологије и примени алата који се обично повезују са пост-експлоатационим оквирима који се користе у упадима усмереним на монетизацију.

Анализа атрибуције и преклапања у Северној Кореји

Идентитет групе која стоји иза UAT-10027 остаје непознат. Међутим, истраживачи су идентификовали тактичке сличности између Dohdoor-а и LazarLoader-а, програма за преузимање који је раније приписан севернокорејској групи претњи Lazarus.

Иако постоје техничка преклапања са злонамерним софтвером повезаним са Лазарусом, фокус кампање на образовање и здравствену заштиту одступа од традиционалног циљања Лазаруса на платформе криптовалута и ентитете повезане са одбраном.

Ипак, историјске активности севернокорејских актера напредних упорних претњи (APT) откривају делимично слагање виктимологије. На пример, севернокорејски оператери су користили Maui ransomware против здравствених организација, а група Kimsuky је циљала образовне институције. Ови преседани истичу тематска преклапања са профилом циљања UAT-10027, иако није утврђена дефинитивна атрибуција.

Комбинација софистицираних техника избегавања, селективног циљања сектора и прикривања инфраструктуре позиционира UAT-10027 као значајну и еволуирајућу претњу која захтева појачану будност у свим критичним секторима услуга.

У тренду

FedEx Express - Ваше пошиљке су примљене путем е-поште

Пецање, Малваре, Спам
Остајање опрезним приликом суочавања са неочекиваним имејловима је кључно у данашњем свету претњи. Сајбер криминалци се рутински представљају као познати брендови како би искористили поверење и радозналост. Такозвани имејлови „FedEx Express - Ваше пошиљке су примљене“ су одличан пример ове тактике. Иако изгледа да долазе од легитимне курирске службе, ове поруке нису повезане ни са једном правом...

Најгледанији

Злонамерних програма

Пецање, Спам
23,491
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...