Dohdoor Backdoor

గతంలో నమోదుకాని బెదిరింపు కార్యకలాపాల సమూహం, కనీసం డిసెంబర్ 2025 నుండి యునైటెడ్ స్టేట్స్ అంతటా విద్య మరియు ఆరోగ్య సంరక్షణ రంగాలను లక్ష్యంగా చేసుకుని కొనసాగుతున్న హానికరమైన ప్రచారంతో ముడిపడి ఉంది. భద్రతా పరిశోధకులు UAT-10027 హోదాతో ఈ కార్యాచరణను ట్రాక్ చేస్తున్నారు. ఈ ప్రచారం యొక్క ప్రాథమిక లక్ష్యం దోహ్‌డూర్ అని పిలువబడే కొత్తగా గుర్తించబడిన బ్యాక్‌డోర్‌ను మోహరించడం.

అనేక విద్యా సంస్థలు ఇప్పటికే రాజీ పడ్డాయి, వాటిలో అనేక అనుబంధ సంస్థలకు కనెక్టివిటీ ఉన్న విశ్వవిద్యాలయం కూడా ఉంది, ఇది దాడికి అవకాశం విస్తరించే అవకాశం ఉందని సూచిస్తుంది. వృద్ధుల సంరక్షణలో ప్రత్యేకత కలిగిన ఒక ఆరోగ్య సంరక్షణ సౌకర్యం కూడా బాధితురాలిగా నిర్ధారించబడింది, ఇది ఆపరేషన్ యొక్క రంగ-నిర్దిష్ట దృష్టిని నొక్కి చెబుతుంది.

ఇన్ఫెక్షన్ చైన్ మరియు మాల్వేర్ విస్తరణ

ఖచ్చితమైన ప్రారంభ యాక్సెస్ వెక్టర్ నిర్ణయించబడనప్పటికీ, ఈ ప్రచారం సోషల్ ఇంజనీరింగ్ ఆధారిత ఫిషింగ్ వ్యూహాలతో ప్రారంభమై ఉంటుందని, అది చివరికి హానికరమైన పవర్‌షెల్ స్క్రిప్ట్ అమలుకు దారితీస్తుందని పరిశోధకులు అనుమానిస్తున్నారు.

సంక్రమణ క్రమం అనేక దశలలో విస్తరిస్తుంది:

• పవర్‌షెల్ స్క్రిప్ట్ రిమోట్ స్టేజింగ్ సర్వర్ నుండి విండోస్ బ్యాచ్ ఫైల్‌ను తిరిగి పొందుతుంది మరియు అమలు చేస్తుంది.
• ఆ బ్యాచ్ ఫైల్ తరువాత 'propsys.dll' లేదా 'batmeter.dll' అని పిలువబడే హానికరమైన DLL ఫైల్‌ను డౌన్‌లోడ్ చేస్తుంది.
• Dohdoor గా గుర్తించబడిన DLL, 'Fondue.exe,' 'mblctr.exe,' లేదా 'ScreenClippingHost.exe' వంటి చట్టబద్ధమైన Windows బైనరీలను ఉపయోగించి DLL సైడ్-లోడింగ్ ద్వారా అమలు చేయబడుతుంది.
• ఒకసారి యాక్టివ్ అయిన తర్వాత, బ్యాక్‌డోర్ సెకండరీ పేలోడ్‌ను నేరుగా మెమరీలోకి లాగి, దానిని అమలు చేస్తుంది, ఇది కోబాల్ట్ స్ట్రైక్ బీకన్‌గా అంచనా వేయబడుతుంది.

ఈ బహుళ-పొరల అమలు గొలుసు గుర్తింపును తప్పించుకోవడానికి హానికరమైన భాగాలను విశ్వసనీయ సిస్టమ్ ప్రక్రియలతో కలపడానికి ఉద్దేశపూర్వక ప్రయత్నాలను ప్రదర్శిస్తుంది.

రహస్య కమాండ్-అండ్-కంట్రోల్ మౌలిక సదుపాయాలు

కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్‌లను నిర్వహించడానికి డోహ్‌డూర్ DNS-ఓవర్-HTTPS (DoH)ను ఉపయోగించుకుంటుంది. HTTPS ట్రాఫిక్‌లో DNS ప్రశ్నలను ఎన్‌క్రిప్ట్ చేయడం ద్వారా, మాల్వేర్ దాని కమ్యూనికేషన్‌లను చట్టబద్ధమైన ఎన్‌క్రిప్టెడ్ వెబ్ ట్రాఫిక్‌లో దాచిపెడుతుంది.

ఈ ముప్పు కలిగించే వ్యక్తి C2 సర్వర్‌లను Cloudflare నెట్‌వర్క్ ద్వారా రూట్ చేయడం ద్వారా మౌలిక సదుపాయాలను మరింత అస్పష్టం చేస్తాడు. ఫలితంగా, రాజీపడిన సిస్టమ్‌ల నుండి అవుట్‌బౌండ్ కమ్యూనికేషన్‌లు విశ్వసనీయ గ్లోబల్ IP చిరునామా వైపు మళ్లించబడిన ప్రామాణిక HTTPS ట్రాఫిక్‌గా కనిపిస్తాయి.

ఈ విధానం సాంప్రదాయ రక్షణ విధానాలను సమర్థవంతంగా దాటవేస్తుంది, వాటిలో:

• DNS-ఆధారిత గుర్తింపు వ్యవస్థలు మరియు DNS సింక్‌హోల్స్

• అనుమానాస్పద డొమైన్ శోధనలను ఫ్లాగ్ చేసే నెట్‌వర్క్ పర్యవేక్షణ సాధనాలు

• కనిపించే DNS ప్రశ్నలపై ఆధారపడిన సాంప్రదాయ ట్రాఫిక్ విశ్లేషణ పరిష్కారాలు

నెట్‌వర్క్ ఎగవేత పద్ధతులతో పాటు, వినియోగదారు-మోడ్ API పర్యవేక్షణపై ఆధారపడే ఎండ్‌పాయింట్ డిటెక్షన్ మరియు రెస్పాన్స్ (EDR) పరిష్కారాలను తప్పించుకోవడానికి డోహ్‌డూర్ NTDLL.dllలోని సిస్టమ్ కాల్‌లను చురుకుగా అన్‌హుక్ చేస్తుంది. ఈ సామర్థ్యం ఎండ్‌పాయింట్ స్థాయిలో ప్రవర్తనా గుర్తింపు సంభావ్యతను గణనీయంగా తగ్గిస్తుంది.

కార్యాచరణ లక్ష్యాలు మరియు ఆర్థిక ప్రేరణ

ప్రస్తుతం, డేటా తొలగింపుకు సంబంధించిన ధృవీకరించబడిన ఆధారాలు ఏవీ గుర్తించబడలేదు. కోబాల్ట్ స్ట్రైక్ బీకాన్‌ను ఫాలో-ఆన్ పేలోడ్‌గా ఉపయోగించడం తప్ప, అదనపు చివరి దశ మాల్వేర్ ఏదీ గమనించబడలేదు.

ఇప్పటివరకు రాన్సమ్‌వేర్ లేదా డేటా దొంగతనం కార్యకలాపాలు లేనప్పటికీ, ఈ ప్రచారం ఆర్థికంగా ప్రేరేపించబడిందని విశ్లేషకులు అంచనా వేస్తున్నారు. ఈ ముగింపు బాధితుల నమూనా మరియు డబ్బు ఆర్జన-ఆధారిత చొరబాట్లలో ఉపయోగించే దోపిడీ అనంతర చొరబాట్లతో సాధారణంగా అనుబంధించబడిన సాధనాల విస్తరణపై ఆధారపడి ఉంటుంది.

ఆపాదన విశ్లేషణ మరియు ఉత్తర కొరియా అతివ్యాప్తులు

UAT-10027 వెనుక ఉన్న సమూహం యొక్క గుర్తింపు ఇంకా తెలియదు. అయితే, దోహ్దూర్ మరియు ఉత్తర కొరియా ముప్పు సమూహం లాజరస్‌కు చెందినదిగా గతంలో ఆపాదించబడిన డౌన్‌లోడ్దారు అయిన లాజర్‌లోడర్ మధ్య వ్యూహాత్మక సారూప్యతలను పరిశోధకులు గుర్తించారు.

లాజరస్-లింక్డ్ మాల్వేర్‌తో సాంకేతిక అతివ్యాప్తులు ఉన్నప్పటికీ, విద్య మరియు ఆరోగ్య సంరక్షణపై ప్రచారం యొక్క దృష్టి లాజరస్ యొక్క సాంప్రదాయ క్రిప్టోకరెన్సీ ప్లాట్‌ఫారమ్‌లు మరియు రక్షణ-సంబంధిత సంస్థలను లక్ష్యంగా చేసుకోవడం నుండి భిన్నంగా ఉంటుంది.

అయితే, ఉత్తర కొరియా అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) నటుల చారిత్రక కార్యకలాపాలు పాక్షిక బాధితుల అమరికను వెల్లడిస్తాయి. ఉదాహరణకు, ఉత్తర కొరియా ఆపరేటర్లు ఆరోగ్య సంరక్షణ సంస్థలకు వ్యతిరేకంగా మౌయి రాన్సమ్‌వేర్‌ను మోహరించారు మరియు కిమ్సుకీ గ్రూప్ విద్యా సంస్థలను లక్ష్యంగా చేసుకుంది. ఈ పూర్వాపరాలు UAT-10027 యొక్క లక్ష్య ప్రొఫైల్‌తో నేపథ్య అతివ్యాప్తులను హైలైట్ చేస్తాయి, అయినప్పటికీ ఖచ్చితమైన లక్షణం స్థాపించబడలేదు.

అధునాతన ఎగవేత పద్ధతులు, ఎంపిక చేసిన రంగాన్ని లక్ష్యంగా చేసుకోవడం మరియు మౌలిక సదుపాయాలను దాచడం వంటి వాటి కలయిక UAT-10027 ను కీలకమైన సేవా రంగాలలో అధిక నిఘా అవసరమయ్యే ముఖ్యమైన మరియు అభివృద్ధి చెందుతున్న ముప్పుగా పేర్కొంది.