Rabattoffert för flera licenser
Hotdatabas Bakdörrar Dohdoor Bakdörr

Dohdoor Bakdörr

Med Mezo år Bakdörrar, Advanced Persistent Threat (APT)
Översätt till:

Ett tidigare odokumenterat kluster av hotaktiviteter har kopplats till en pågående skadlig kampanj riktad mot utbildnings- och hälsovårdssektorerna i USA sedan åtminstone december 2025. Säkerhetsforskare spårar denna aktivitet under beteckningen UAT-10027. Kampanjens primära mål är att distribuera en nyligen identifierad bakdörr som kallas Dohdoor.

Flera utbildningsinstitutioner har redan blivit utsatta för intrång, inklusive ett universitet med anslutning till flera anslutna institutioner, vilket tyder på en potentiellt utökad attackyta. En vårdinrättning specialiserad på äldreomsorg har också bekräftats som offer, vilket understryker operationens sektorspecifika fokus.

Infektionskedja och distribution av skadlig kod

Även om den exakta initiala åtkomstvektorn fortfarande är okänd, misstänker utredarna att kampanjen börjar med social engineering-baserade nätfisketaktik som i slutändan utlöser exekveringen av ett skadligt PowerShell-skript.

Infektionsförloppet utvecklas i flera steg:

  • PowerShell-skriptet hämtar och kör en Windows-batchfil från en fjärrserver.
  • Batchfilen laddar sedan ner en skadlig DLL-fil, vanligtvis kallad 'propsys.dll' eller 'batmeter.dll'.
  • DLL-filen, identifierad som Dohdoor, körs genom DLL-sidladdning med hjälp av legitima Windows-binärfiler som 'Fondue.exe', 'mblctr.exe' eller 'ScreenClippingHost.exe'.
  • När den är aktiv drar bakdörren en sekundär nyttolast direkt in i minnet och exekverar den, bedömd vara en Cobalt Strike Beacon.

Denna flerskiktade exekveringskedja visar på avsiktliga ansträngningar att blanda skadliga komponenter med betrodda systemprocesser för att undvika upptäckt.

Hemlig kommando- och kontrollinfrastruktur

Dohdoor använder DNS-över-HTTPS (DoH) för att hantera kommando-och-kontrollkommunikation (C2). Genom att kryptera DNS-frågor inom HTTPS-trafik döljer den skadliga programvaran sin kommunikation inom till synes legitim krypterad webbtrafik.

Hotaktören döljer ytterligare infrastrukturen genom att dirigera C2-servrar genom Cloudflares nätverk. Som ett resultat visas utgående kommunikation från komprometterade system som standard HTTPS-trafik riktad mot en betrodd global IP-adress.

Denna metod kringgår effektivt traditionella försvarsmekanismer, inklusive:

  • DNS-baserade detekteringssystem och DNS-slukhål
  • Verktyg för nätverksövervakning som flaggar misstänkta domänsökningar
  • Konventionella trafikanalyslösningar som är beroende av synliga DNS-frågor

Förutom tekniker för nätverksundangripande, avkopplar Dohdoor aktivt systemanrop i NTDLL.dll för att kringgå lösningar för slutpunktsdetektering och -respons (EDR) som förlitar sig på API-övervakning i användarläge. Denna funktion minskar avsevärt sannolikheten för beteendedetektering på slutpunktsnivå.

Operativa mål och finansiell motivation

För närvarande har inga bekräftade bevis för datautvinning identifierats. Förutom utplaceringen av Cobalt Strike Beacon som en uppföljande nyttolast har ingen ytterligare skadlig kod i slutskedet observerats.

Trots avsaknaden av ransomware- eller datastöldaktivitet hittills bedömer analytiker att kampanjen sannolikt är ekonomiskt motiverad. Denna slutsats baseras på viktimologimönstret och utplaceringen av verktyg som vanligtvis förknippas med ramverk efter utnyttjande som används vid intrång som drivs av intrång med intrångseffekter.

Attribueringsanalys och nordkoreanska överlappningar

Identiteten på gruppen bakom UAT-10027 är fortfarande okänd. Forskare har dock identifierat taktiska likheter mellan Dohdoor och LazarLoader, en nedladdare som tidigare tillskrivits den nordkoreanska hotgruppen Lazarus.

Även om det finns tekniska överlappningar med Lazarus-kopplad skadlig kod, avviker kampanjens fokus på utbildning och hälso- och sjukvård från Lazarus traditionella inriktning på kryptovalutaplattformar och försvarsrelaterade enheter.

Historisk aktivitet från nordkoreanska aktörer inom avancerade ihållande hot (APT) visar dock delvis överensstämmelse i offertologin. Till exempel har nordkoreanska operatörer distribuerat Maui-ransomware mot hälso- och sjukvårdsorganisationer, och gruppen Kimsuky har riktat in sig på utbildningsinstitutioner. Dessa exempel belyser tematiska överlappningar med UAT-10027:s målprofil, även om ingen definitiv tillskrivning har fastställts.

Kombinationen av sofistikerade undvikandetekniker, selektiv sektorinriktning och dold infrastruktur positionerar UAT-10027 som ett betydande och föränderligt hot som kräver ökad vaksamhet inom kritiska tjänstesektorer.

Trendigt

FedEx Express - E-postbedrägeri om att dina...

Nätfiske, Skadlig programvara, Spam
Att vara vaksam när man hanterar oväntade e-postmeddelanden är avgörande i dagens hotbild. Cyberbrottslingar utger sig rutinmässigt för att vara välkända varumärken för att utnyttja förtroende och nyfikenhet. De så kallade e-postmeddelandena "FedEx Express - Dina försändelser mottagits" är ett utmärkt exempel på denna taktik. Även om de verkar komma från en legitim budfirma är dessa meddelanden...

Mest sedda

Läser in...