Dohdoor Backdoor

முன்னர் ஆவணப்படுத்தப்படாத அச்சுறுத்தல் செயல்பாட்டுக் குழு, குறைந்தது டிசம்பர் 2025 முதல் அமெரிக்கா முழுவதும் கல்வி மற்றும் சுகாதாரத் துறைகளை இலக்காகக் கொண்ட ஒரு தீங்கிழைக்கும் பிரச்சாரத்துடன் இணைக்கப்பட்டுள்ளது. பாதுகாப்பு ஆராய்ச்சியாளர்கள் UAT-10027 என்ற பெயரில் இந்தச் செயல்பாட்டைக் கண்காணித்து வருகின்றனர். இந்தப் பிரச்சாரத்தின் முதன்மை நோக்கம், டோஹ்தூர் எனப்படும் புதிதாக அடையாளம் காணப்பட்ட பின்புறக் கதவைப் பயன்படுத்துவதாகும்.

பல கல்வி நிறுவனங்கள் ஏற்கனவே சமரசம் செய்யப்பட்டுள்ளன, இதில் பல இணைக்கப்பட்ட நிறுவனங்களுடன் இணைப்புடன் கூடிய பல்கலைக்கழகம் அடங்கும், இது விரிவாக்கப்பட்ட தாக்குதல் மேற்பரப்பைக் குறிக்கிறது. முதியோர் பராமரிப்பில் நிபுணத்துவம் பெற்ற ஒரு சுகாதார வசதியும் பாதிக்கப்பட்டதாக உறுதிப்படுத்தப்பட்டுள்ளது, இது செயல்பாட்டின் துறை சார்ந்த கவனத்தை அடிக்கோடிட்டுக் காட்டுகிறது.

தொற்று சங்கிலி மற்றும் தீம்பொருள் பயன்பாடு

துல்லியமான ஆரம்ப அணுகல் திசையன் தீர்மானிக்கப்படவில்லை என்றாலும், பிரச்சாரம் சமூக பொறியியல் அடிப்படையிலான ஃபிஷிங் தந்திரோபாயங்களுடன் தொடங்குகிறது என்று புலனாய்வாளர்கள் சந்தேகிக்கின்றனர், இது இறுதியில் தீங்கிழைக்கும் பவர்ஷெல் ஸ்கிரிப்டை செயல்படுத்தத் தூண்டுகிறது.

தொற்று செயல்முறை பல கட்டங்களில் நடைபெறுகிறது:

• பவர்ஷெல் ஸ்கிரிப்ட் ஒரு ரிமோட் ஸ்டேஜிங் சர்வரிலிருந்து விண்டோஸ் பேட்ச் கோப்பை மீட்டெடுத்து செயல்படுத்துகிறது.
• பின்னர் அந்தத் தொகுதி கோப்பு, 'propsys.dll' அல்லது 'batmeter.dll' என்று பொதுவாகப் பெயரிடப்பட்ட ஒரு தீங்கிழைக்கும் DLL கோப்பைப் பதிவிறக்குகிறது.
• Dohdoor என அடையாளம் காணப்பட்ட DLL, 'Fondue.exe', 'mblctr.exe' அல்லது 'ScreenClippingHost.exe' போன்ற முறையான விண்டோஸ் பைனரிகளைப் பயன்படுத்தி DLL பக்க ஏற்றுதல் மூலம் செயல்படுத்தப்படுகிறது.
• செயல்பட்டவுடன், பின்கதவு ஒரு இரண்டாம் நிலை பேலோடை நேரடியாக நினைவகத்திற்குள் இழுத்து அதை செயல்படுத்துகிறது, இது கோபால்ட் ஸ்ட்ரைக் பீக்கன் என்று மதிப்பிடப்படுகிறது.

இந்த பல அடுக்கு செயல்படுத்தல் சங்கிலி, கண்டறிதலைத் தவிர்ப்பதற்காக, தீங்கிழைக்கும் கூறுகளை நம்பகமான அமைப்பு செயல்முறைகளுடன் கலக்கும் வேண்டுமென்றே செய்யப்படும் முயற்சிகளை நிரூபிக்கிறது.

ரகசிய கட்டளை மற்றும் கட்டுப்பாட்டு உள்கட்டமைப்பு

டோஹ்டூர், கட்டளை மற்றும் கட்டுப்பாடு (C2) தகவல்தொடர்புகளை நிர்வகிக்க DNS-over-HTTPS (DoH) ஐப் பயன்படுத்துகிறது. HTTPS போக்குவரத்திற்குள் DNS வினவல்களை குறியாக்கம் செய்வதன் மூலம், தீம்பொருள் அதன் தகவல்தொடர்புகளை முறையான மறைகுறியாக்கப்பட்ட வலை போக்குவரத்திற்குள் மறைக்கிறது.

அச்சுறுத்தல் ஏற்படுத்தும் நபர், Cloudflare இன் நெட்வொர்க் மூலம் C2 சேவையகங்களை ரூட் செய்வதன் மூலம் உள்கட்டமைப்பை மேலும் மறைக்கிறார். இதன் விளைவாக, சமரசம் செய்யப்பட்ட அமைப்புகளிலிருந்து வெளிச்செல்லும் தகவல்தொடர்புகள் நம்பகமான உலகளாவிய IP முகவரியை நோக்கி இயக்கப்படும் நிலையான HTTPS போக்குவரத்தாகத் தோன்றும்.

இந்த அணுகுமுறை பாரம்பரிய தற்காப்பு வழிமுறைகளை திறம்பட புறக்கணிக்கிறது, அவற்றுள்:

• DNS-அடிப்படையிலான கண்டறிதல் அமைப்புகள் மற்றும் DNS மூழ்கும் துளைகள்

• சந்தேகத்திற்கிடமான டொமைன் தேடல்களைக் கொடியிடும் பிணைய கண்காணிப்பு கருவிகள்

• காணக்கூடிய DNS வினவல்களை நம்பியிருக்கும் வழக்கமான போக்குவரத்து பகுப்பாய்வு தீர்வுகள்

நெட்வொர்க் ஏய்ப்பு நுட்பங்களுடன் கூடுதலாக, பயனர்-பயன்முறை API கண்காணிப்பை நம்பியிருக்கும் எண்ட்பாயிண்ட் கண்டறிதல் மற்றும் பதில் (EDR) தீர்வுகளைத் தவிர்க்க, டோஹ்டூர் NTDLL.dll இல் உள்ள சிஸ்டம் அழைப்புகளை தீவிரமாக அவிழ்க்கிறது. இந்த திறன் எண்ட்பாயிண்ட் மட்டத்தில் நடத்தை கண்டறிதலின் சாத்தியக்கூறுகளை கணிசமாகக் குறைக்கிறது.

செயல்பாட்டு நோக்கங்கள் மற்றும் நிதி உந்துதல்

தற்போது, தரவு வெளியேற்றத்திற்கான உறுதிப்படுத்தப்பட்ட எந்த ஆதாரமும் அடையாளம் காணப்படவில்லை. கோபால்ட் ஸ்ட்ரைக் பீக்கனை ஒரு தொடர்ச்சியான பேலோடாகப் பயன்படுத்துவதைத் தவிர, கூடுதல் இறுதி-நிலை தீம்பொருள் எதுவும் காணப்படவில்லை.

இதுவரை ரான்சம்வேர் அல்லது தரவு திருட்டு செயல்பாடு இல்லாவிட்டாலும், இந்த பிரச்சாரம் நிதி ரீதியாக உந்துதல் பெற்றதாக இருக்கலாம் என்று ஆய்வாளர்கள் மதிப்பிடுகின்றனர். இந்த முடிவு பாதிக்கப்பட்டவர்களின் முறை மற்றும் பணமாக்குதல் சார்ந்த ஊடுருவல்களில் பயன்படுத்தப்படும் சுரண்டலுக்குப் பிந்தைய கட்டமைப்புகளுடன் பொதுவாக தொடர்புடைய கருவிகளின் பயன்பாடு ஆகியவற்றை அடிப்படையாகக் கொண்டது.

பண்புக்கூறு பகுப்பாய்வு மற்றும் வட கொரிய மேற்பொருந்துதல்கள்

UAT-10027-க்குப் பின்னால் உள்ள குழுவின் அடையாளம் இன்னும் தெரியவில்லை. இருப்பினும், வட கொரிய அச்சுறுத்தல் குழுவான லாசரஸுடன் முன்னர் தொடர்புடையதாகக் கூறப்படும் பதிவிறக்கக்காரரான டோஹ்டூருக்கும் லாசர்லோடருக்கும் இடையிலான தந்திரோபாய ஒற்றுமைகளை ஆராய்ச்சியாளர்கள் அடையாளம் கண்டுள்ளனர்.

லாசரஸ்-இணைக்கப்பட்ட தீம்பொருளுடன் தொழில்நுட்ப ரீதியாக ஒன்றுடன் ஒன்று தொடர்புடையதாக இருந்தாலும், கல்வி மற்றும் சுகாதாரப் பாதுகாப்பு மீதான பிரச்சாரத்தின் கவனம், லாசரஸின் பாரம்பரிய கிரிப்டோகரன்சி தளங்கள் மற்றும் பாதுகாப்பு தொடர்பான நிறுவனங்களை இலக்காகக் கொள்வதிலிருந்து வேறுபடுகிறது.

இருப்பினும், வட கொரிய மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் (APT) நடிகர்களின் வரலாற்று செயல்பாடு பகுதி பாதிக்கப்பட்டோர் சீரமைப்பை வெளிப்படுத்துகிறது. எடுத்துக்காட்டாக, வட கொரிய ஆபரேட்டர்கள் சுகாதார நிறுவனங்களுக்கு எதிராக மௌய் ரான்சம்வேரைப் பயன்படுத்தியுள்ளனர், மேலும் கிம்சுகி குழு கல்வி நிறுவனங்களை குறிவைத்துள்ளது. இந்த முன்னுதாரணங்கள் UAT-10027 இன் இலக்கு சுயவிவரத்துடன் கருப்பொருள் மேலெழுதல்களை எடுத்துக்காட்டுகின்றன, இருப்பினும் எந்த உறுதியான பண்புக்கூறுகளும் நிறுவப்படவில்லை.

அதிநவீன ஏய்ப்பு நுட்பங்கள், தேர்ந்தெடுக்கப்பட்ட துறை இலக்கு மற்றும் உள்கட்டமைப்பு மறைத்தல் ஆகியவற்றின் கலவையானது UAT-10027 ஐ ஒரு குறிப்பிடத்தக்க மற்றும் வளர்ந்து வரும் அச்சுறுத்தலாக நிலைநிறுத்துகிறது, இது முக்கியமான சேவைத் துறைகளில் அதிகரித்த விழிப்புணர்வைத் தேவைப்படுகிறது.