Dohdoor Backdoor
กลุ่มกิจกรรมภัยคุกคามที่ไม่เคยมีการบันทึกมาก่อนถูกเชื่อมโยงกับแคมเปญโจมตีอย่างต่อเนื่องที่มุ่งเป้าไปที่ภาคการศึกษาและสาธารณสุขทั่วสหรัฐอเมริกามาตั้งแต่เดือนธันวาคม 2025 เป็นอย่างน้อย นักวิจัยด้านความปลอดภัยกำลังติดตามกิจกรรมนี้ภายใต้ชื่อ UAT-10027 วัตถุประสงค์หลักของแคมเปญนี้คือการติดตั้งแบ็กดอร์ที่เพิ่งค้นพบใหม่ซึ่งรู้จักกันในชื่อ Dohdoor
สถาบันการศึกษาหลายแห่งได้รับผลกระทบแล้ว รวมถึงมหาวิทยาลัยที่มีการเชื่อมต่อกับสถาบันในเครือหลายแห่ง ซึ่งบ่งชี้ว่าอาจมีช่องโหว่ให้โจมตีได้มากขึ้น นอกจากนี้ ยังมีการยืนยันว่าสถานพยาบาลที่เชี่ยวชาญด้านการดูแลผู้สูงอายุตกเป็นเหยื่อด้วยเช่นกัน ซึ่งเน้นย้ำถึงการมุ่งเป้าไปที่กลุ่มธุรกิจเฉพาะทางนี้
สารบัญ
ห่วงโซ่การติดเชื้อและการแพร่กระจายของมัลแวร์
แม้ว่าวิธีการเข้าถึงเริ่มต้นที่แน่ชัดจะยังไม่สามารถระบุได้ แต่ผู้สืบสวนสงสัยว่าการโจมตีเริ่มต้นด้วยกลยุทธ์ฟิชชิ่งโดยใช้เทคนิคทางสังคม ซึ่งท้ายที่สุดแล้วจะกระตุ้นให้มีการเรียกใช้สคริปต์ PowerShell ที่เป็นอันตราย
ลำดับการติดเชื้อเกิดขึ้นเป็นหลายขั้นตอน:
- สคริปต์ PowerShell นี้จะดึงและเรียกใช้ไฟล์แบตช์ของ Windows จากเซิร์ฟเวอร์ทดสอบระยะไกล
- จากนั้นไฟล์แบตช์จะดาวน์โหลดไฟล์ DLL ที่เป็นอันตราย ซึ่งโดยทั่วไปจะมีชื่อว่า 'propsys.dll' หรือ 'batmeter.dll'
- ไฟล์ DLL ที่ระบุว่า Dohdoor นั้นถูกเรียกใช้งานผ่านการโหลด DLL จากภายนอกโดยใช้ไบนารีของ Windows ที่ถูกต้องตามกฎหมาย เช่น 'Fondue.exe', 'mblctr.exe' หรือ 'ScreenClippingHost.exe'
- เมื่อเปิดใช้งานแล้ว ช่องโหว่นี้จะดึงเพย์โหลดรองเข้ามาในหน่วยความจำโดยตรงและเรียกใช้งาน ซึ่งประเมินว่าเป็น Cobalt Strike Beacon
โครงสร้างการทำงานแบบหลายชั้นนี้แสดงให้เห็นถึงความพยายามโดยเจตนาที่จะผสมผสานส่วนประกอบที่เป็นอันตรายเข้ากับกระบวนการของระบบที่เชื่อถือได้เพื่อหลีกเลี่ยงการตรวจจับ
โครงสร้างพื้นฐานการบัญชาการและควบคุมแบบลับ
Dohdoor ใช้ประโยชน์จาก DNS-over-HTTPS (DoH) ในการจัดการการสื่อสารแบบควบคุมและสั่งการ (C2) โดยการเข้ารหัสคำขอ DNS ภายในทราฟฟิก HTTPS มัลแวร์จะซ่อนการสื่อสารของตนไว้ภายในทราฟฟิกเว็บที่เข้ารหัสซึ่งดูเหมือนถูกต้องตามกฎหมาย
ผู้โจมตีปกปิดโครงสร้างพื้นฐานเพิ่มเติมโดยการกำหนดเส้นทางเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ผ่านเครือข่ายของ Cloudflare ส่งผลให้การสื่อสารขาออกจากระบบที่ถูกบุกรุกปรากฏเป็นทราฟฟิก HTTPS มาตรฐานที่ส่งไปยังที่อยู่ IP ทั่วโลกที่เชื่อถือได้
วิธีการนี้สามารถหลีกเลี่ยงกลไกการป้องกันแบบดั้งเดิมได้อย่างมีประสิทธิภาพ ซึ่งรวมถึง:
- ระบบตรวจจับแบบ DNS และ DNS sinkhole
- เครื่องมือตรวจสอบเครือข่ายที่แจ้งเตือนการค้นหาโดเมนที่น่าสงสัย
- โซลูชันการวิเคราะห์ปริมาณการรับส่งข้อมูลแบบดั้งเดิมนั้นอาศัยการสืบค้น DNS ที่มองเห็นได้
นอกเหนือจากเทคนิคการหลีกเลี่ยงเครือข่ายแล้ว Dohdoor ยังทำการยกเลิกการเรียกใช้ระบบใน NTDLL.dll อย่างแข็งขันเพื่อหลีกเลี่ยงโซลูชันการตรวจจับและตอบสนองปลายทาง (EDR) ที่อาศัยการตรวจสอบ API ในโหมดผู้ใช้ ความสามารถนี้ช่วยลดโอกาสในการตรวจจับพฤติกรรมในระดับปลายทางได้อย่างมาก
วัตถุประสงค์ในการดำเนินงานและแรงจูงใจทางการเงิน
ในขณะนี้ ยังไม่พบหลักฐานยืนยันการรั่วไหลของข้อมูล นอกจากการติดตั้ง Cobalt Strike Beacon เป็นเพย์โหลดเสริมแล้ว ยังไม่พบมัลแวร์ขั้นสุดท้ายเพิ่มเติมใดๆ
แม้ว่าจะยังไม่พบการโจมตีด้วยแรนซอมแวร์หรือการขโมยข้อมูล แต่ผู้เชี่ยวชาญประเมินว่าแคมเปญนี้น่าจะมีแรงจูงใจทางการเงิน ข้อสรุปนี้อิงจากรูปแบบพฤติกรรมเหยื่อและการใช้งานเครื่องมือที่มักเกี่ยวข้องกับเฟรมเวิร์กหลังการเจาะระบบที่ใช้ในการบุกรุกเพื่อสร้างรายได้
การวิเคราะห์การระบุแหล่งที่มาและความทับซ้อนกับเกาหลีเหนือ
ยังไม่ทราบตัวตนของกลุ่มที่อยู่เบื้องหลัง UAT-10027 อย่างไรก็ตาม นักวิจัยได้พบความคล้ายคลึงกันทางยุทธวิธีระหว่าง Dohdoor และ LazarLoader ซึ่งเป็นโปรแกรมดาวน์โหลดที่ก่อนหน้านี้ถูกระบุว่าเป็นของกลุ่มคุกคาม Lazarus จากเกาหลีเหนือ
แม้ว่าจะมีจุดร่วมทางเทคนิคกับมัลแวร์ที่เชื่อมโยงกับ Lazarus แต่การมุ่งเน้นของแคมเปญนี้ไปที่การศึกษาและการดูแลสุขภาพนั้นแตกต่างจากการกำหนดเป้าหมายแบบดั้งเดิมของ Lazarus ที่มุ่งเป้าไปที่แพลตฟอร์มสกุลเงินดิจิทัลและหน่วยงานที่เกี่ยวข้องกับการป้องกันประเทศ
อย่างไรก็ตาม กิจกรรมในอดีตของกลุ่มแฮกเกอร์ขั้นสูงจากเกาหลีเหนือ (APT) เผยให้เห็นความสอดคล้องกันบางส่วนในด้านลักษณะเหยื่อ ตัวอย่างเช่น ผู้ปฏิบัติการชาวเกาหลีเหนือเคยใช้แรนซัมแวร์ Maui โจมตีองค์กรด้านการดูแลสุขภาพ และกลุ่ม Kimsuky ได้กำหนดเป้าหมายไปที่สถาบันการศึกษา ตัวอย่างเหล่านี้เน้นให้เห็นถึงความทับซ้อนในเชิงธีมกับโปรไฟล์การกำหนดเป้าหมายของ UAT-10027 แม้ว่าจะยังไม่มีการระบุผู้กระทำความผิดอย่างแน่ชัดก็ตาม
การผสมผสานระหว่างเทคนิคการหลบเลี่ยงที่ซับซ้อน การกำหนดเป้าหมายเฉพาะภาคส่วน และการปกปิดโครงสร้างพื้นฐาน ทำให้ UAT-10027 เป็นภัยคุกคามที่สำคัญและเปลี่ยนแปลงอยู่ตลอดเวลา ซึ่งจำเป็นต้องมีการเฝ้าระวังอย่างเข้มงวดในภาคบริการที่สำคัญต่างๆ
